Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

cybercrime

Truffa via Pec, così hanno svuotato i conti correnti

10 Mag 2018

Corrado Giustozzi

esperto di sicurezza cibernetica presso il CERT-PA AgID


Gli spazi di manovra tra le pieghe della burocrazia, i vuoti organizzativi lasciati dalla crescente semplificazione amministrativa, lo scarso rigore applicato nella quotidiana attuazione delle procedure: queste ed altre concause simili sono alla base della riuscita di una spettacolare truffa grazie alla quale un’organizzazione criminale nostrana è riuscita a creare un esteso sistema “man-in-the-middle” tra banche e correntisti finalizzato a sviare i fondi di questi ultimi. La novità è che le mail intercettate erano PEC, considerate (a ragione) sicure ed inviolabili. Ed in effetti i truffatori non hanno violato le PEC in sé, ma hanno sfruttato le debolezze organizzative del sistema di emissione per riuscire ad ottenere fraudolentemente delle caselle di per sé legittime con le quali ingannare i correntisti. Ma com’è stato possibile?

Una truffa in due passi

Il primo passo della truffa si basa sul fatto che la vigente normativa consente, agli operatori che lo desiderino, di attivare una nuova casella di PEC mediante una procedura svolta interamente on-line, ossia senza effettuare il riconoscimento de visu del soggetto richiedente: a tal fine basta semplicemente che costui invii una scansione di un proprio documento di identità. Sfruttando tale possibilità, ed usando ovviamente documenti contraffatti,  i truffatori hanno potuto facilmente farsi rilasciare da un operatore accreditato delle caselle di PEC tecnicamente valide ma intestate a soggetti fittizi o inconsapevoli. Tali caselle avevano l’indirizzo molto simile o addirittura uguale, tranne che per piccoli dettagli, a quello dei reali indirizzi di PEC utilizzati dai soggetti bancari che sarebbero stati oggetto della truffa.

Il secondo passo è stato quello di “convincere” i correntisti delle banche in questione ad usare l’indirizzo di PEC fasullo al posto di quello vero nelle loro comunicazioni alla banca. Ciò è stato fatto in diversi modi, compreso quello di riuscire a far comparire tali indirizzi al posto di quelli veri in alcuni elenchi elettronici pubblici ritenuti generalmente affidabili.

Fatto ciò il gioco era concluso. Le PEC che i correntisti pensavano di inviare alle banche venivano ricevute e lette dai truffatori, e da questi eventualmente inviate mediante forward alle banche, così che nessuno potesse accorgersi di nulla. Ma i truffatori potevano comunicare con i correntisti spacciandosi per le rispettive banche, ad esempio per farsi rivelare le credenziali di accesso ai conti on-line. In questo modo intervenivano soprattutto in caso di disposizioni da parte dei correntisti, che provvedevano a dirottare su conti di comodo intestati a soggetti fittizi (o a volte agli stessi correntisti) da cui poi venivano fatti definitivamente sparire.

Articolo 1 di 2