2022/12/11

Quando la truffa è talmente spavalda da rasentare l’elogio: Paypal e l’account Postfinance

Nota: alcuni dettagli di questo articolo sono stati modificati rispetto alla realtà per esigenze di narrazione e per proteggere le identità delle persone coinvolte. La sostanza tecnica dell’articolo è inalterata. Questa è una versione estesa del testo del podcast del 16 dicembre 2022. Pubblicazione iniziale: 2022/12/11 10:51. Ultimo aggiornamento: 2022/12/22 12:40.

Intendiamoci subito: un crimine è un crimine e come tale va condannato. Una persona ha perso parecchi soldi a causa della truffa che sto per raccontarvi. Ma la sfacciataggine e la spavalderia della tecnica usata dal criminale sono sorprendenti e confesso di avere un piccolo moto di ammirazione per l’astuzia di chi l’ha concepita e messa in atto. In ogni caso, questo tipo originale di trappola informatica può essere un pericolo per molti, soprattutto nel periodo natalizio.

---

Questa storia inizia con una telefonata. Una persona mi chiama chiedendo aiuto per risolvere una truffa: ha usato il proprio conto PayPal, sul quale aveva accumulato del denaro, per inviare a se stessa circa duemila franchi, dando ordine a PayPal di versarli sul suo conto Postfinance (la versione svizzera di un conto corrente presso l’ufficio postale), ma i soldi non sono mai arrivati.

Non ci sono indicazioni che il suo computer sia stato attaccato o che qualcuno abbia avuto accesso al suo conto PayPal, e l’ipotesi che qualcuno sia riuscito a dirottare il suo trasferimento di denaro mentre era in transito sembra tecnicamente improbabile. Frodi o errori da parte di PayPal o di Postfinance sembrano ancora più implausibili. La vittima dice di essere sicura di essere entrata direttamente nel proprio account PayPal e di aver dato le proprie credenziali al sito originale, per cui è da escludere un phishing (furto di credenziali effettuato inducendo la vittima a visitare un sito che ha lo stesso aspetto di quello autentico ma è gestito dai criminali) o un man in the middle (intercettazione delle comunicazioni della vittima con il sito autentico).

Sembra un mistero irrisolvibile, ma come mi capita spesso in situazioni come questa chiedo alla vittima di descrivermi in dettaglio i passi che ha compiuto, mentre io li ripercorro usando il mio conto PayPal come ambiente di prova. 

La vittima mi racconta che è entrata nel proprio conto e ha cliccato sull’opzione di invio denaro nella pagina principale, etichettata Send money nella versione in inglese del sito. 

Lo faccio anch’io, e sul monitor del computer mi compare appunto l’opzione di inviare denaro, bene in vista al centro della schermata:

La vittima mi spiega che a questo punto ha cliccato su Send money, visto che doveva inviare del denaro, e ha digitato Postfinance nella casella di ricerca del destinatario. 

Ripeto i suoi passi, e quindi clicco su Send money. Mi compare la casella di ricerca nella quale, appunto, si cerca il nome dell’utente al quale inviare denaro:

In questa casella digito Postfinance, come ha fatto la vittima, e mi compare sullo schermo l’account di nome Postfinance.

La vittima mi spiega che ha cliccato su questo account e ha immesso la cifra da inviare, cliccando poi sul pulsante di invio. Da quel momento non ha più visto i propri soldi.

Provo a farlo anch’io, con un importo simbolico di un centesimo, ma mi trattengo dal cliccare sul pulsante Send Money Now.

Avete capito come si è svolta la frode?

Vi lascio un po’ di tempo per pensarci. Scrivete la vostra soluzione nei commenti, se vi va.

---

ALLERTA SPOILER: La soluzione

La vittima ha commesso un errore abbastanza comprensibile: ha usato la funzione Send money invece di quella giusta, che ha un nome molto simile, ossia Transfer money

In questo modo la vittima, invece di mandare i soldi al proprio conto Postfinance (che va preventivamente registrato fra i conti destinatari autorizzati), ha mandato i soldi a un truffatore che ha avuto l’idea semplice e geniale di creare un account di nome Postfinance e ha avuto la spavalderia di confidare che PayPal non avrebbe fatto alcun controllo significativo sui nomi degli account. E ha avuto ragione.

La vittima, poco pratica di PayPal e presa dalla fretta perché era in partenza per un viaggio, ha pensato che scegliendo Postfinance gli automatismi di PayPal avrebbero dedotto dai dati del mittente a quale conto andassero inviati i soldi. L’errore iniziale è stato suo, certo, ma è stato facilitato dall’ambiguità fra inviare denaro e trasferire denaro e soprattutto dal fatto che PayPal non sta facendo nulla di efficace per evitare queste truffe: infatti ospita numerosissimi account che hanno nomi o nickname palesemente ingannevoli.

Grazie anche alle segnalazioni dei lettori nei commenti qui sotto e su Mastodon, è infatti emerso che fra gli utenti di PayPal, oltre a Postfinance (con tanto di pratico e ingannevolissimo link rapido Paypal.me/postfinance), ci sono account che hanno nickname sfacciatamente fraudolenti, come Poste Pay, Poste Italiane, Credit Lyonnais American Express, Paypal Banque, Banca Bancomer, Banca Comercial Mexicana, Banca Intesa, Intesa Sanpaolo, Banca Sella o Mastercard Crédit Mutuel, insieme a tantissime persone che a quanto pare di nome o cognome fanno proprio Mastercard e a qualcuno che ha la curiosa sorte di chiamarsi Visa Mastercard o Debito Mastercard.

Si capisce che sono account fraudolenti e non intestati alle istituzioni finanziarie legittime dal nome indicato in piccolo dopo la chiocciolina, che non c’entra nulla con quello dell’istituzione: dubito, per esempio, che Poste Italiane abbia aperto un account usando il nome utente @filomenapolito93.

La vittima è ora in disputa con PayPal per tentare di farsi restituire la somma, ma nel frattempo è importante prevenire che ci siano ulteriori vittime. Ho già avvisato il servizio antiphishing di PayPal, che secondo la guida online è raggiungibile inviando una mail a phishing@paypal.com.

In caso di sospettata frode, la guida online di PayPal raccomanda inoltre di contattare il servizio antifrode dell’azienda usando la pagina apposita (www.paypal.com/disputes/), ma questa pagina funziona solo se c’è stata una transazione fra vittima e presunto truffatore. Così ho mandato un centesimo al falso Postfinance: questo mi ha consentito di venire a sapere quale indirizzo di mail è associato all’account. È thierrybarthtiti113@gmail.com, e PayPal stessa ammette che l’account non è verificato.

Ho inviato a Paypal questa mail dal mio account presso la RSI:

Dear Sirs,

I am a journalist working for Swiss National Radio and TV.

I would like to report a fraudulent account on your service. The account is called "@Postfinance". It is impersonating the Swiss Post Office, but it is associated with the email account thierrybarthtiti113@gmail.com.

This account has already scammed someone, who contacted me to report the scam.

I am writing an article on PayPal fraud management, reporting this specific instance.

I would like to suggest that you block this "@Postfinance" account immediately. As a general rule, perhaps you could consider a filter that prevents or at least flags accounts that use well-known company names without verification.

Sincerely,
Paolo Attivissimo

Lugano, Switzerland

Adesso vediamo che succede. Personalmente trovo assurdo e inaccettabile che PayPal non effettui nessun controllo sui nomi o nickname scelti dagli utenti, filtrando almeno quelli che contengono parole chiave evidenti come bank, banque, credit, debit, poste, card.

Nel frattempo, posso solo segnalare pubblicamente questo problema e raccomandare a tutti di fare tanta, tanta attenzione ai dettagli quando si invia denaro via Internet e di farlo solo quando si può agire senza fretta, senza distrazioni e senza ansie. 

---

2022/12/22. Ricevo dalla vittima e segnalo con piacere la notizia che PayPal ha rimborsato l’intera cifra. L’account ingannevole, tuttavia, è ancora presente su PayPal.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili