Hacker viola chat e home banking, truffati due correntisti: oscurato sito di phishing
Dopo due denunce ricevute la polizia postale ha avviato subito le indagini individuando e sequestrando la pagina web utilizzata per il raggiro. Il racconto di una delle vittime: "Mi ha fregato 400 euro autorizzando i prelievi senza carta allo sportello"
Dopo aver risposto a una telefonata era certa di avere a che fare con un operatore della sua banca. E invece si trattava di un hacker che, senza chiederle pin o numero di conto, è riuscito a intrufolarsi nel sistema di messaggi inviati dallo stesso istituto di credito per comunicarle alcune anomalie sull’home banking. Poi sarebbe riuscito a farla navigare su un sito-clone della sua banca, autorizzando quattro prelievi allo sportello Atm senza carta e rubandole 400 euro. Gli agenti della polizia postale hanno individuato e posto sotto sequestro un sito internet di phishing utilizzato da ignoti per truffare due palermitani.
"Durante la chiamata - spiega a PalermoToday una delle due vittime del raggiro subito circa due settimane fa - siamo andati a controllare sul sito e il mittente degli sms risultava quello ufficiale. Tanto che le comunicazioni si erano ricollegate alla vecchia chat: vedevamo i vecchi messaggi che ci aveva inviato la banca, mentre l’ultimo era l'esca l’hacker. Ci ha raccontato che nel nostro conto di home banking era stati registrati dei movimenti sospetti e per questo era stato bloccato". La giovane correntista a quel punto, pur nutrendo ancora qualche timore, ha continuato a mantenere i contatti con quello che sembrava uno dei dipendenti dell’istituto bancario. E facendolo era rimasta anche collegata sul sito.
"Era molto credibile, tanto che dopo due minuti è ‘scaduta la sessione’ e sono stata nuovamente contattata da un operatore. Sapeva per filo e per segno tutte le consulenze telefoniche che avevamo fatto sul conto - racconta ancora la vittima - e ha chiesto qualche dato per verificare la mia identità. In realtà stava accedendo all’home banking autorizzando quattro prelievi cardless, un servizio che avevo e non sinceramente non ricordo di avere mai attivato. Però sa... in questi contratti scritti minuscoli può esserci di tutto. Ad ogni modo razie a questo stratagemma ha potuto prelevare i contanti con un semplice QR code generato dal sistema". La truffa era andata a segno.
La mattina seguente la vittima, dopo telefonate e colloqui gli operatori contattati al numero verde della banca (quella vera), è andata a sporgere denuncia negli uffici della polizia postale riferendo ogni passaggio del raggiro. Immediate le indagini coordinate dalla Procura di Palermo ed eseguite dai poliziotti del compartimento di polizia postale e delle comunicazioni di Palermo che hanno acquisito i primi dati investigativi per risalire agli autori della truffa, per il momento rimasti ignoti.
Dopo i primi accertamenti informatici inerenti l’hosting del sito truffa, d’intesa con il Servizio polizia postale del ministero dell’Interno, il personale dell’area investigativa di contrasto al cyber crime ha eseguito un decreto di sequestro preventivo d’urgenza emesso dalla Procura di Palermo e convalidato dal gip, ottenendo l’oscuramento del sito di phishing. "Oggi il sito web utilizzato per il phishing - spiega la polizia - non è più on line, ma non si esclude che gli autori della truffa possano creare altre pagine web per continuare nella loro attività illecita"
Le indagini informatiche condotte dalla Postale, sono adesso finalizzate all’individuazione dei responsabili delle frodi. “Per prevenirle - si legge in una nota - si consiglia di diffidare sempre delle comunicazioni telefoniche e informatiche in cui viene chiesta la condivisione di dati sensibili che attengono alla propria sfera personale ed economica”. Resta l’amarezza, oltre il danno economico, per quanto accaduto: “Adesso - conclude la vittima - dovrò chiarire la situazione con la banca che, per una settimana, non mi ha consentito di fare il disconoscimento delle operazioni”.
