Truffa di Natale: hacker contro NoiPA, rubati stipendi e tredicesime a dipendenti pubblici (che invece potrebbe essere phishing…)
Ci segnalano i nostri contatti un articolo titolato Truffa di Natale: hacker contro NoiPA, rubati stipendi e tredicesime a dipendenti pubblici.
Partiamo da un concetto: esattamente come quando si parlò a sproposito di Ordini degli Avvocati hackerati, anche in questo caso non si parla di hacking, ma di phishing.
Una truffa c’è stata, qualcuno dovrà controllare la propria posizione, ma nessun attacco informatico in stile Hackerman, il più famoso hacker del mondo è stato portato ai portali della pubblica amministrazione.
Trattasi di un banalissimo caso di phishing.
Non Hackerman quindi ma Tototruffa. Non un genio del computer che ha collegato il suo sistema alla pubblica amministrazione, ma utenti che hanno ricevuto mail per sollecitarli all’elargizione del loro dato, o che hanno mantenuto password provvisorie troppo a lungo.
Il caso
In queste ore avrete visto circolare la seguente nota, di cui vi inoltriamo copia delle pagine
La mail parla da sola: è effettivamente successo un caso di Phishing. Che riguarda alcuni profili, e non tutti i profili di NoiPA.
NoiPA che è un portale che, inserendo una mail valida (prendete nota, questo è importante) ed una password consente di accedere a delle schede personali che contengono vari dati, tra cui i cedolini in formato PDF, prospetti paga e la possibilità di variare il proprio IBAN bancario per domiciliazioni.
La mail dichiara che non sono ancora accertate le modalità con cui sono stati carpiti i dati personali per l’accesso al portale, l’estensione al momento limitata del fenomeno lascia ipotizzare sia stata avviata una operazione di “phising” (sic!) diretta a singoli dipendenti.
Il quadro della situazione è chiaro, ancorché sempre la nota precisa che non è possibile escludere un ulteriore quadro evolutivo della situazione.
Il Phishing
Del Phishing vi abbiamo già parlato, ed è quanto accaduto nel caso citato dell’Ordine degli Avvocati.
Premettiamo che siamo ancora ad indagini aperte, ed è assolutamente prematuro e sconsigliato anticipare gli inquirenti dichiarando con certezza assoluta cosa potrebbe essere accaduto.
Le ipotesi sono diverse, ma tutte legate al phishing stesso.
Potebbe darsi che il phisher di turno abbia comprato uno degli infiniti elenchi di account email attivi che sul Deep Web vengono venduti per essere usati come bersaglio per phishing e truffe online.
Uno di quegli elenchi che, ad esempio, giustificano come facesse il truffatore che dichiara di avere un vostro video porno e di essere addolorato dalla vostra esibizione sessuale a sapere il vostro indirizzo e conoscere una vostra vecchia password.
E che, avendo tale elenco in mano, si sia dilettato nel controllare quale password fosse ancora attiva, quindi guadagnandosi l’accesso al profilo di un dipendente pubblico e, notato il campo per variare l’IBAN sia stato tentato di inserire il suo (cosa che ha fatto) prelevando i dati personali dall’ampia documentazione nel portale.
Oppure, come nel caso delle truffe citate, possa aver sfruttato indirizzi ancora attivi per inviare email mirate suggerendo “cambi di password” (solitamente buona pratica, ma non quando te lo chiede un phisher) su un sito civetta creato allo scopo.
In ogni caso, come parlammo nei casi citati, il phishing è la trasposizione virtuale della truffa fisica del soggetto che, con un tesserino stampato al computer, si accosta alla porta di un anziano dicendo di essere un poliziotto che necessita l’ingresso nella sua dimora per immagini, un famoso avvocato che ha bisogno di conferire perché un nipote dell’anziana è stato coinvolto in un incidente automobilistico, un sacerdote in questua o altra figura di autorità. Figura che, carpita la fiducia del soggetto che ha di fronte provvede immediatamente a derubarlo.
L’ipotesi più probabile al momento è quella formulata dal Sole 24
Oggi, se un dipendente pubblico cambia banca e ha necessità di fornire il nuovo Iban per l’accredito dello stipendio, deve farlo direttamente online sul portale. Ed è proprio qui che avrebbe avuto origine l’attacco informatico. Grazie a migliaia di mail di phishing (le classiche mail esca che – travestite da mail istituzionali – chiedono la modifica di dati personali), alcuni utenti avrebbero dato in pasto a un gruppo di hacker tutte le informazioni per accedere al portale NoiPA, comprese quelle che consentono di cambiare il numero di telefono e l’Iban su cui accreditare le spettanze.
Seguita a ruota dall’ipotesi dell’utente distratto che non cambia la password provvisoria da eoni.
Il risultato è lo stesso: un cospicuo numero di utenti che hanno visto il loro pagamento dirottato.
Ed ora cosa posso fare?
Seguire i consigli della nostra guida utile dal titolo e così sei caduto in un caso di phishing.
Contattate quindi immediatamente il servizio clienti della vostra banca (lapalissiano: se hanno inserito il loro IBAN, sono in possesso dei dati del vostro precedente e di tutto quello che gli serve per altre truffe) nonché la pubblica amministrazione chiedendo di bloccare il pagamento, manifestando l’accaduto, e verificando le modalità di invio della documentazione di cui al passo parallelo.
Che è denunciare l’accaduto.
Meglio sarebbe alla Polizia Postale, il prima possibile.
Salva una copia di eventuali mail di sollecito di cambio password dall’aria sospetta (mail rivolte all’indirizzo email stesso usato come equipollente al nome e cognome, sgrammaticate…), in formato digitale è meglio. A seconda se voi usiate Thunderbird, Outlook o il browser di posta (accesso da WebMail) il menù Salva si troverà in un posto diverso. Stampate dunque il messaggio originale, portate anche una copia del messaggio “scaricata” o “salvata” su un CD o un Pendrive e denunciate.
Tale mail, se trovata, sarà prova di una delle possibili piste del phishing.
Anche se non trovate tale mail, denunciate immediatamente l’accaduto. La denuncia cautelerà voi e consentirà agli operatori bancari di attivare le assicurazioni stipulate all’uopo, consentendo di limitare o riparare al danno.
Le possibilità sono assai elevate, se intendi riottenere il denaro indebitamente trafugato e non patire ulteriori furti in futuro.
Quanto alla punizione del truffatore, va tenuto conto che, esattamente come ricordato per il caso delle “truffe dell’hacker pornografico”, parliamo di gente che agisce in paesi spesso lontani da ogni giurisdizione, usando come basi operative internet point in qualche sobborgo di un paesello di un’economia emergente.
Rintracciarli non sempre è possibile: ma spezzare la loro macchina della truffa e ridurli all’impotenza lo è.
Se il nostro servizio ti piace sostienici su PATREON o
con una donazione PAYPAL.