Scoperta truffa Voucher sms da 1,5 mln: Polizia spiega la prevenzione

02 marzo 2017 ore 16:25, Luca Lippi
Dall’alba di stamattina Guardia di Finanza e Polizia postale stanno eseguendo  (in provincia di Frosinone e Napoli) 12 decreti di perquisizione emessi dalla Procura di Roma al termine di un’indagine durata circa 2 anni, volta allo smantellamento di un gruppo criminale che si era specializzato nell'acquisto di voucher Inps, utilizzando carte di pagamento e conti correnti online di ignare vittime.
Nome dell’operazione “Fake Jobs”, dall’operazione scoperto un giro d’affari di circa 1,5 milioni di euro.

L’OPERAZIONE
I finanzieri del Nucleo Speciale Frodi Tecnologiche, in collaborazione con i colleghi della Polizia Postale e delle Comunicazioni hanno condotto una  lunga e complessa attività investigativa iniziata nel 2015 e (col contributo di Inps e di Poste Italiane S.p.A)  ha acceso i riflettori su un gruppo criminale che acquistava Voucher Inps attraverso l’indebito utilizzo di carte di pagamento e conti correnti on-line di persone completamente ignare. Le vittime, infatti, inserivano i dati delle loro carte di credito o del loro conto corrente su pagine web contraffatte da hacker specializzati. In particolare, i criminali acquisivano i dati sensibili attraverso la tecnica del “phishing” o dello “smishing”, tramite l’invio di decine di migliaia Sms in modo casuale “contenenti proposte lusinghiere”, da servizi presenti in rete (es. buoni carburante, ricariche telefoniche ecc., utilizzando loghi e marche di aziende ben note). 
Una volta ottenuti i dati finanziari, facevano confluire le somme sottratte su portafogli elettronici intestati a finti “datori di lavoro”. I wallet venivano poi utilizzati come veri e propri conti correnti per ridistribuire le somme frodate a falsi “prestatori d’opera occasionali”, tutti regolarmente registrati presso l’Inps e titolari della carta Postepay Inps attraverso la quale monetizzavano i proventi. 
Sono centinaia le vittime in tutta Italia, con un profitto complessivo di circa un milione e mezzo di euro.

Scoperta truffa Voucher sms da 1,5 mln: Polizia spiega la prevenzione

PHISHING
Dal sito della polizia postale ricaviamo che il phishing è una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli:
Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l'accesso previa registrazione (web-mail, e-commerce ecc.). Il  messaggio invita, riferendo problemi di registrazione o di altra natura,  a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l'utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati.  In realtà il sito a cui ci si collega è  stato artatamente allestito identico a quello originale. Qualora l'utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
Con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo arriva dall’utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf . Nel caso si tratti di un  c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”,  c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce.  

SMISHING
Sempre dalla polizia postale ci spiegano che è in corso un nuovo fenomeno di phishing/smishing che sta mietendo numerose vittime. 
La modalità è la seguente: l’utente riceve un sms o una mail apparentemente inviati dal proprio istituto di credito con le quali si chiede di aggiornare le proprie credenziali di accesso ai servizi di home banking ovvero di confermare la propria identità accedendo al conto. L’utente clicca sul link che di fatto lo collega ad un sito clone, del tutto simile a quello ufficiale. Grazie alle credenziali ottenute con tale inganno i malviventi sono in grado di conoscere la modalità scelta dal cliente per ricevere la password necessaria per accedere ai servizi on line (c.d. “one time password”). Nel caso in cui la modalità prescelta sia un sms sulla propria utenza cellulare, i malviventi provvedono ad attivare con documenti falsi una sim-card con lo stesso numero telefonico del cliente che intendono frodare. In tal modo saranno loro a ricevere la “one–time–password” al posto del titolare e potranno disporre dei trasferimenti di denaro a loro piacimento. 
Consigli:
Non cliccate su link o allegati pdf contenuti in sms o mail che arrivano sul vostro cellulare o sul vostro computer e che apparentemente sembrano provenire dalla vostra banca.

autore / Luca Lippi
Luca Lippi
caricamento in corso...
caricamento in corso...