Accedevano a conti correnti on line sottraendo somme di denaro
Si impossessavano dei codici personali di accesso ai conti correnti postali "on line" di ignari clienti, prelevando somme di denaro.
I responsabili del "phishing", due pregiudicati di 45 anni, sono stati individuati e denunciati dagli agenti del Commissariato Romanina, diretto dal dr. Antonio Pignataro, che sono riusciti ad interrompere i continui prelievi.
Le indagini sono iniziate a seguito della denuncia di uno dei truffati, titolare di una carta prepagata postepay, che si era accorto di due transazioni effettuate on line per ricaricare altre due postepay, di cui lui non era a conoscenza, e per una somma totale di 750 euro.
È stato quindi richiesto il dettaglio delle due transazioni sospette, dal quale si è avuta la conferma del furto dei dati.
In particolare, dopo la denuncia, gli agenti del Commissariato hanno accertato che le due operazioni segnalate erano state effettuate utilizzando un indirizzo IP internet, attraverso il quale venivano "catturati" i dati personali dell'utente inconsapevole immessi dal truffato su una maschera fittizia del portale delle Poste.
Così i truffatori hanno prelevato e convogliato le somme di denaro nelle postepay, poi risultate intestate a loro.
Gli agenti, quindi, hanno ricostruito la dinamica dell'illecito perpetrato.
Gli esperti informatici, sfruttando messaggi di posta elettronica in cui venivano riprodotte fedelmente le pagine del portale delle Poste italiane www.posteitaliane.it, comunicavano ai malcapitati di essere i vincitori di premi fedeltà.
Nella circostanza, ai clienti destinatari di queste e-mail veniva precisato che i premi sarebbero stati elargiti direttamente via web dalle Poste Italiane, con l'invito ad accedere "on line" al conto corrente, inserendo il codice segreto personale, al fine di poter permettere l'accredito delle somme vinte.
All'atto della digitazione, i codici personali venivano fraudolentemente "carpiti", e successivamente utilizzati per operazioni bancarie a proprio favore su carte di credito.
Gli autori della truffa sono stati così individuati e denunciati per i reati di frode informatica e ricettazione.
Phishing è una forma di frode informatica utilizzata per ottenere l'accesso a informazioni personali di un utente, impossessandosi di "chiavi di accesso" al servizio di home banking, tra password e codici personali, numero di carta di credito, postepay o numero di conti correnti".
Lo scopo è il furto d'identità mediante l'utilizzo delle comunicazioni elettroniche.
Il phishing "spillaggio di dati sensibili", si concretizza tramite l'invio di false e-mail apparentemente provenienti da società reali, invitando il destinatario della mail a collegarsi tramite un link ad un sito internet del tutto simile a quello della società imitata e ad inserirvi, generalmente attraverso una finestra pop-up che si apre dallo stesso link le informazioni riservate.
Il processo standard delle tecniche di attacco di phishing si riassume in poche fasi: l'hacker malintenzionato (phisher) spedisce al malcapitato utente un messaggio di posta elettronica, che simula nella grafica e nel contenuto quello di una istituzione o di un ente "familiare" al destinatario (per esempio la sua banca, il suo provider web ecc).
L'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente o account, oppure la notifica di una vincita.
In genere viene richiesto di collegarsi ad un link per evitare l'addebito o per regolarizzare la propria posizione con l'ente o la società, di cui il messaggio simula la grafica e l'impostazione.
Tuttavia, il link fornito, non si connette in realtà al sito web ufficiale, ma a una maschera fittizia, collegata ad un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari.
Per tutelarsi da questo fenomeno, si deve sempre diffidare da chiunque chieda tramite e-mail di inviare dati personali/riservati e non accedere a siti utilizzando link (indirizzi web) contenuti in mail (anche se apparentemente inviato da una fonte affidabile).
Le banche o gli altri enti tendenzialmente non inviano e non richiedono informazioni personali attraverso la posta elettronica.
E' utile per prevenire rischi digitare direttamente l'indirizzo del sito che desiderate visitare nella barra degli indirizzi.
Spesso accade che i messaggi di testo contengano errori di scrittura, in quanto risultato di traduzioni poco accurate. Conviene quindi leggere attentamente il messaggio, ed ancora qualora dovesse essere recapitata una mail con un link "sospetto", è bene contattare la banca o l'ente interessato per verificare la provenienza del messaggio.
Per verificare la autenticità dei siti è invece opportuno verificare se l'indirizzo internet di riferimento sia contraddistinto dal simbolo di un lucchetto, che connota la "sicurezza" del portale dell'ente interessato, ed aiuta quindi a riconoscere "i siti di atterrraggio" utilizzati dai phisher.
Roma, 21 settembre 2010