Truffe a PostePay tramite Facebook. Ma Poste Italiane ci mette del suo…

Lug 16, 2018 Marco Schiaffino Attacchi, In evidenza, News, Phishing, RSS 0

I truffatori si inseriscono contattando i clienti PostePay che chiedono assistenza e cercano di estorcergli informazioni per rubargli denaro.

I social media, per le aziende, non sono solo uno strumento di promozione e pubblicità. Sempre più spesso vengono utilizzati come piattaforma per comunicare con i loro clienti e offrire, per esempio, servizi di assistenza attraverso le chat.

In qualche caso, però, l’uso di questi canali rischia di aprire la strada ai pirati informatici o a più comuni truffatori. Il caso di Poste Italiane, segnalato da D3Lab in un report sul blog ufficiale della società di sicurezza, è un limpido esempio di come questo possa succedere.

La pagina Facebook di Poste Italiane, nella sezione Community, è letteralmente inondata di richieste di assistenza da parte dei loro clienti che, evidentemente, trovano il social network uno strumento molto comodo per comunicare con l’azienda.

Purtroppo, però, gli operatori social di Poste Italiane hanno preso la brutta abitudine di rispondere promettendo di fornire assistenza al cliente invitandolo a inviare un messaggio privato e proseguire attraverso il Messenger di Facebook. Qual è il problema?

Semplice: che qualcuno ha pensato bene di poter sfruttare il tutto per truffare i clienti di Poste Italiane riempirsi le tasche alla faccia loro.

Molti messaggi con la richiesta di assistenza vengono inviati in modalità pubblica, probabilmente con l’idea di fare leva sul desiderio di Poste Italiane di mostrarsi efficiente. Peccato che sia un’arma a doppio taglio…

Il trucchetto funziona così: il truffatore tiene d’occhio i messaggi pubblici nella sezione Community e, quando vede che qualcuno riceve la risposta standard inviata dagli operatori ufficiali, cerca di bruciarli sul tempo e contatta l’utente direttamente, spacciandosi per un impiegato di Poste Italiane.

Ovviamente il cliente dovrebbe insospettirsi, visto che la procedura indicata è quella di inviare un messaggio privato a Poste e non di essere contattati autonomamente. Ma sono sfumature a cui molte persone evidentemente non fanno caso…

Da qui parte una più o meno elaborata commedia in cui il criminale cerca di convincere la malcapitata vittima a fornirgli tutti i dati e un codice OTP (che viene inviato via cellulare) con il quale è possibile eseguire operazioni a carico della carta PostePay della vittima.

Come spiegano i ricercatori di D3Lab, che hanno fatto da esca su Facebook per sperimentare in prima persona il modus operandi dei truffatori, si tratta molto probabilmente di persone di nazionalità italiana. L’appropriatezza del linguaggio e l’uso di forme che gli stranieri faticano a usare correttamente (il dare del lei, per esempio) lo confermano, così come il risultato di un tracciamento dell’interlocutore che lo collegherebbe (VPN e Tor permettendo) sul territorio italiano.

Lo schema della truffa come sintetizzato nel report di D3Lab.

Ciò che è davvero impressionante è il numero di persone che cadono nel tranello. Su Facebook c’è un gruppo dedicato (POSTEPAY TRUFFE FURTI & C.) che conta la bellezza di 794 membri.

Non tutti hanno subito esattamente questo tipo di truffa (tra i casi denunciati ci sono altre tecniche di classico phishing via Web) ma il gruppo offre un’idea delle dimensioni del problema.

Le contromosse di Poste Italiane (sottolineare in vari messaggi e in pagine Web che gli account Facebook degli operatori hanno di fianco il “bollino blu” di certificazione di Facebook) non sembrano funzionare benissimo, anche perché molti clienti si lasciano ingannare dalla presenza di bollini blu all’interno delle immagini del profilo (sigh) o da altri trucchetti simili.

Di fronte al perdurare delle truffe (è almeno da maggio che il problema ha assunto dimensioni notevoli) stupisce più che altro che Poste Italiane non abbia ancora deciso che Facebook, forse, non è lo strumento migliore per fornire assistenza in ambito finanziario… o no?

Condividi l'articolo