Nella quotidiana attività di monitoraggio dei Social Network effettuata per individuare le segnalazioni da parte di utenti della comunità di eMail o SMS di Phishing abbiamo rilevato un crescente numero di utenti che lamentava di essere stati truffati tramite Facebook a seguito di un contatto con la pagina ufficiale Postepay di Poste Italiane.
A quanto si è potuto appurare le vittime contattano la pagina certificata Postepay tramite l’invio di un messaggio pubblico, usualmente per chiedere supporto o per segnalare eventuali malfunzionamenti dei servizi da loro sottoscritti. Il social care ufficiale di Poste Italiane provvede a rispondere all’utente pubblicamente e nel caso vi fosse la necessità di effettuare ulteriori verifiche lo inviata ad inviare un messaggio privato alla pagina ufficiale contente il codice fiscale e il numero di cellulare. Il truffatore rilevando il messaggio pubblico dell’utente e la relativa risposta ufficiale del social care anticipa l’utente inviandogli un messaggio privato tramite un falso profilo Facebook simulando un vero operatore del servizio clienti. Il falso profilo invia inizialmente un messaggio alla vittima identificandosi tramite un nominativo ed un codice operatore e chiederà alla vittima come può essere utile per la risoluzione del problema. Instaurata la comunicazione il truffatore procede a richiedere il codice fiscale alla vittima, tramite tale dato è possibile determinare se la vittima è registrata o meno sul portale online di Poste Italiane. Qualora l’utente sia già registrato al portale online il truffatore procede a richiedere ulteriori dettagli alla vittima fingendosi interessato a risolvere il reale problema, realmente l’intento è quello di circuire il cliente di Poste Italiane al fine di eseguire addebiti illeciti sulla sua carta di credito prepagata con la complicità dello stesso cliente ignaro della truffa.
Qualora l’utente non sia registrato, il truffatore procederà alla registrazione sul portale di Poste Italiane assieme alla vittima al fine di associare la carta prepagata al nuovo profilo ed eseguire la procedura già descritta nel precedente punto.
Il truffatore è in grado di identificare se la vittima è registrata o meno al portale di Poste Italiane sfruttando la funzione di recupero credenziali, infatti il portale online riporta chiaramente se il codice fiscale è associato ad un cliente o meno.
Abbiamo dato evidenza della nostra analisi a Poste Italiane la quale ci informa che il Computer Emergency Response Team del Gruppo Poste Italiane è a conoscenza del fenomeno e lo sta contrastando con tutti i mezzi a sua disposizione. Il servizio di Brand Protection fa monitoraggio dei canali social per verificare che non vi siano usi impropri dei marchi Poste Italiane. Una volta identificati profili che utilizzano il marchio impropriamente, fa richiesta al canale social per il blocco del profilo stesso. Purtroppo i profili vengono spesso chiusi e aperti in diversi momenti, creando difficoltà nella identificazione e segnalazione. Si fa presente che Poste Italiane ha già informato i propri clienti riguardo tale fenomeno fraudolento, attraverso i canali di comunicazione a sua disposizione.
Simulazione
Al fine di rilevare complessivamente la procedura seguita dai truffatori abbiamo simulato tramite un profilo Facebook la necessità di ricevere supporto dalla pagina Postepay di Poste Italiane. Il 22 Giugno abbiamo inviato il seguente messaggio per richiede al social care su una ipotetica impossibilità di eseguire un pagamento su un noto sito di e-commerce.
Dopo alcuni minuti il profilo “Valentina Minni” con foto profilo ritraente un logo di Poste Italiane provvede a richiederci l’amicizia. Link profilo: https://www.facebook.com/valentina.minni.3939 (copia http://archive.is/omi58)
Il falso profilo di Valentina Minni inizia successivamente a scriverci tramite Facebook Messanger, presentandosi inizialmente con un falso codice operatore e ci chiede come può aiutarci. Spiegata la nostra, falsa, problematica riguardante l’impossibilità di effettuare un pagamento causa blocco del 3D Secure il falso operatore ci avvisa che tale servizio va attivato e ci invita ad indicargli il nostro codice fiscale.
Fornendogli un Codice Fiscale generato in maniera casuale ma attinente al nome del profilo Facebook, il truffatore ci avvisa che non siamo registrati sul sito di Poste Italiane e ci invita ad effettuare la registrazione assieme a lui al fine di attivare il 3D Secure.
Come scusa abbiamo indicato che la carta prepagata era intestata alla moglie della probabile vittima e che normalmente venivano sfruttate le credenziali della signora per eseguire il login al portale di Poste.
Dopo alcuni secondi dall’ultimo messaggio il profilo Facebook del truffatore è stato sospeso, probabilmente a seguito della segnalazione di un’altra probabile vittima.
Il truffatore non si da per vinto e dopo pochi minuti veniamo contattati nuovamente da un secondo profilo, sempre denominato Valentina Minni ma avente un ID Facebook differente.
Link profilo: https://www.facebook.com/valentina.minni.376 (copia http://archive.is/BRniX)
Abbiamo messo noi ora in atto una tecnica di ingegneria sociale per poter carpire maggiori dettagli del truffatore. Con la scusa di avere i documenti della moglie su DropBox abbiamo condiviso un link al truffatore, enfatizzando la comunicazione con messaggi di vita quotidiana della vittima completamente insignificanti nella risoluzione della problematica.
Il link riportato nella realtà non portava ad alcun documento DropBox ma ad una pagina inesistente sul portale di file sharing, passando però da una pagina intermedia che aveva il compito di carpire alcuni dettagli del truffatore.
Nello specifico abbiamo potuto stabilire l’User Agent del truffatore e il suo indirizzo IP. Il primo dato ci mostra che sfrutta un computer con Microsoft Windows, presumibilmente Windows 7, e il browser Google Chrome, mentre il suo indirizzo era 151.57.29.28.
Tale indirizzo IP risulta essere Italiano e un sevizio di geolocalizzazione lo identifica nelle vicinanze di Napoli.
Questa indicazione, che potrebbe essere certamente falsificata tramite l’uso di Proxy, VPN o rete TOR, convalida un altro sospetto che avevamo fin dall’inizio, ovvero che il truffatore parla un Italiano perfetto, conosce anche la forma di cortesia è l’uso dei pronomi Lei usualmente sconosciuta o di difficile apprendimento per una persona straniera.
Successivamente abbiamo continuato la conversazione, poiché totalmente ignari dell’operazione di tracciatura da noi svolta, scusandoci per non essere riusciti a inviargli i documenti e rimandando la conversazione non appena la finta moglie sarebbe rientrata dal lavoro.
I truffatori hanno poi sottolineato l’importanza della presenza della signora e del suo cellulare poiché fondamentale per concludere l’operazione di attivazione del servizio, ovvero fondamentale per poter ricevere il codice OTP di disposizione di una ricarica postepay.
Concludiamo invitando gli utenti a prestare massima attenzione e di verificare di essere in contatto con la pagina ufficiale di Poste Italiane, sfruttando la funzionalità del badge di verifica offerta da Facebook.