Il tentativo di phishing passa attraverso messaggi privati da una sedicente assistenza clienti. Meglio non fidarsi dei messaggi degli sconosciuti: cercate sempre la spunta blu ufficiale
Una fantomatica assistenza clienti che fornisce supporto per problematiche legate al vostro conto Postepay. Dove? Su Facebook naturalmente. E sta svuotando i conti di migliaia di italiani. È questa la nuova truffa PostePay che sfrutta il social network di Mark Zuckerberg per raggirare gli utenti meno esperti. Quello che disorienta quest’ultimi è che la truffa parte proprio dalla pagina ufficiale della carta prepagata di Poste Italiane. Vediamo in che modo.
La truffa corre sui social
Il tentativo di phishing viene camuffato interagendo con le potenziali vittime attraverso il servizio di assistenza clienti ufficiale che Poste Italiane fornisce agli utenti che scrivono sulla sua pagina Facebook. Un servizio sempre più utilizzato dai clienti che però spesso, peccando di ingenuità, si rivelano troppo propensi a rivelare dati personali e del conto pur di risolvere in fretta il loro vero (o presunto) problema.
I cyber criminali agiscono proprio sulla suddetta pagina, camuffati da operatori del servizio assistenza clienti. Accade dunque che l’utente scriva sulla pagina pubblica di Poste Italiane e, senza pensarci, pubblichi sulla bacheca informazioni personali o riferimenti ai propri problemi, che diventano così il primo involontario aiuto per i criminali che operano il più classico approccio della social engineering.
Non aprite quel messaggio privato
Solitamente il responsabile dei social media (quello vero) risponde consigliando di scrivere un messaggio privato e di attendere una risposta, preoccupandosi di verificare che il mittente abbia la spunta blu che ne certifica l’autenticità.
Consci di questa procedura, i truffatori creano dei profili fasulli (che avranno come foto di sfondo quella di Poste Italiane e un nome realistico) per contattare in privato le vittime e promettere loro la risoluzione del problema riscontrato (che oramai conoscono in dettaglio). Per farlo ovviamente, sarà necessario un aggiornamento dei dati (guarda un po’). In questo modo, i malintenzionati potranno rubare tutte le informazioni riservate della nostra carta e far partire una serie di bonifici verso i loro conti corrente.
Come comportarsi
Per dimostrare quanto sia facile raggirare gli utenti la società d3lab, specializzata nel servizio di monitoraggio e contrasto al phishing, ha effettuato una simulazione, fingendosi un utente in cerca di assistenza. Il test ha consentito di scoprire che il truffatore era di nazionalità italiana. Probabilmente utilizzava un VPN, proxy oppure una rete anonima, ma è stato tradito dall’uso corretto della lingua italiana (fondamentale, in questo caso, per la buona riuscita della truffa).
Come in tutti gli altri casi di phishing però – che spesso coinvolgono i clienti di Poste Italiane possessori della sua carta prepagata – l’unico modo per difendersi è scegliere sempre vie di comunicazione ufficiali e verificare che dall’altra parte ci sia un operatore certificato (nel caso di Facebook, controllando che accanto al nome compaia il badge di verifica). In caso di dubbi, vale la pena ricordare che Poste Italiane non ci contatterebbe mai per richiedere, men che meno tramite email o via Facebook, i dati del nostro conto (compreso l’OTP, per effettuare pagamenti via smartphone, come avviene in questi casi). In quei casi si tratta dunque (sempre!) di una truffa informatica.
