http://futura.unito.it/blog/2013/02/...riva-via-mail/

Phishing: quando la truffa arriva via mail
Falsi link e facili offerte di guadagno nascondono imbrogli e riciclaggio
Posted on 22/02/2013 by Andrea Cascioli

Si chiama “phishing”, è un genere di truffa informatica che sfrutta il web per ottenere dati finanziari o coinvolgere soggetti ignari in passaggi di denaro sporco. Spesso si tratta di mail inoltrate da un mittente conosciuto (le Poste, la nostra banca, siti come eBay e PayPal) che con un pretesto invitano a seguire un link e inserire password del conto corrente o della carta di credito. La grammatica può essere più o meno corretta, il senso del messaggio non cambia: “Gentile cliente, il vostro servizio BancoPostaonline e scaduto. Dovete rinnovarlo subito altrimenti il vostro conto verra chiuso”, oppure “Per controllare il tuo conto e le informazioni che CartaSi ha utilizzato per decretare di limitare l’accesso al conto, visita il seguente sito”.

I siti a cui si rimanda sono contraffazioni perfette: immettendo i codici si subisce il furto dei dati. In certi casi la minaccia arriva dalla finta pagina web di un corpo di polizia, che segnala all’utente una violazione di legge e preannuncia il blocco del computer se non si pagherà una multa, ovviamente online, entro una precisa data. L’imbroglio può nascondersi dietro una richiesta d’aiuto: per esempio un conoscente che afferma di aver subito un furto all’estero e di non poter pagare l’albergo, e chiede perciò di effettuargli un versamento con un servizio di money transfer come Western Union.

Altre volte l’obiettivo non è la sottrazione di denaro ma il riciclaggio, attraverso finte offerte di lavoro: una fantomatica azienda propone al destinatario della mail di fare da “financial manager” (cioè da intermediario) per trasferimenti di soldi verso l’estero, trattenendo per sé una commissione. Il meccanismo sfrutta i grandi numeri: inviando a caso migliaia di mail le probabilità di trovare vittime abbastanza distratte o ingenue esistono.

Lo conferma l’avvocato Luca Bovino, che da anni si occupa del fenomeno e cura l’area legale del portale AntiPhishing Italia. Sulle cifre non si sbilancia: «Nemmeno Polizia Postale e Banca d’Italia hanno statistiche precise», spiega. Quel che sembra evidente è la crescita del fenomeno: «Riceviamo sempre più segnalazioni, legate a cicli periodici di attacchi contro questa o quella banca». Truffa e riciclaggio sono collegati: prima si rubano i codici e il denaro, quindi si coinvolgono complici involontari nelle transazioni su conti offshore. Oltre alle mail, social network e chat sono luoghi di reclutamento. Il giro d’affari è ignoto, ma abbastanza vasto da far correre ai phisher il rischio di venire truffati a loro volta se gli intermediari trattengono l’intera somma: una scommessa calcolata («Un po’ come avviene per i corrieri della droga» commenta Bovino).

Prestarsi al gioco può costare caro: finché ci si limita a contatti interlocutori non si commettono reati, ma ricevendo il denaro si diventa complici. Si parla di reati gravi, con pene fino a dodici anni. Il consiglio del legale è quindi di non fidarsi delle facili offerte di guadagno, e controllare se le società sono registrate e hanno veri recapiti. Qualora ci si renda conto di essere stati raggirati, è fondamentale fermarsi in tempo, possibilmente prima di effettuare operazioni: «Un mio cliente di Lecce» ricorda «segnalò l’attività sospetta dopo aver capito che la società con cui si era impegnato non esisteva. Le forze dell’ordine intanto avevano già bloccato i phisher a Bologna: il bonifico a lui intestato per sua fortuna non era ancora partito. Il tribunale lo assolse, ma da quel semplice tentativo di arrotondare lo stipendio sono derivati un bel po’ di travagli giudiziari e oneri economici».

Andrea Cascioli

Federico Callegaro