La Polizia di Stato, a seguito delle denunce di due cittadini palermitani che avevano subito dal proprio conto corrente prelievi di denaro presso ATM, senza aver mai ceduto a terzi la propria carta Bancomat, ha individuato e posto sotto sequestro una pagina web di phishing che replicava il sito di Internet Banking di un noto Istituto di Credito, creata ad arte da truffatori al fine di ottenere le credenziali di accesso dei correntisi dell’Istituto.
Le indagini, coordinate dalla Procura della Repubblica di Palermo, sono state eseguite dai poliziotti del Compartimento Polizia Postale e delle Comunicazioni di Palermo che hanno acquisito i primi dati investigativi e sviluppato i relativi accertamenti.
I truffatori hanno effettuato i prelievi in frode con la modalità cardless, servizio che permette di fare prelievi di contante da casse veloci automatiche in Italia senza usare la carta bancomat, ma solo con lo smartphone. Per ottenere quanto necessario alla frode, i truffatori si sono finti operatori della Banca e hanno inoltrato un sms ai due correntisti contenente il link di un sito Internet clone dell’Internet Banking originale, pagina web di phishing in cui si richiedeva l’inserimento delle credenziali e del pin collegati al conto, che sono stati pertanto carpiti. In seguito i truffatori hanno installato l’app dell’Istituto di Credito nei propri smartphone, l’hanno collegata ai conti delle vittime ed hanno attivato la cosiddetta O-key Smart, ovvero il servizio di prelievo cardless. A quel punto hanno effettuato quattro differenti prelievi per ogni conto corrente, prima che i correntisti si rendessero conto di essere stati truffati. Tutto ciò si è reso possibile grazie anche ad ulteriori raggiri che i truffatori hanno realizzato comunicando telefonicamente con le vittime ed inducendole ad inoltrare i codici di sicurezza della banca che giungevano nelle loro utenze telefoniche.
Dopo i primi accertamenti informatici inerenti l’hosting del sito truffa, d’intesa con il Servizio Polizia Postale del Ministero dell’Interno, il personale dell’area investigativa di contrasto al Cyber Crime della Polizia Postale di Palermo ha eseguito un decreto di sequestro preventivo d’urgenza e quindi l’oscuramento del sito di phishing, emesso dalla Procura della Repubblica di Palermo. Il sequestro è stato in seguito convalidato dal Giudice per le Indagini Preliminari del Tribunale di Palermo.
Oggi il sito web utilizzato per il phishing non è più on line, ma non si esclude che gli autori della truffa possano creare altre pagine web per continuare nella loro attività illecita.
Le indagini informatiche condotte dalla Polizia Postale, pertanto, sono finalizzate adesso all’individuazione dei responsabili delle frodi, per la prevenzione delle quali si consiglia di diffidare sempre delle comunicazioni telefoniche e informatiche in cui viene chiesta la condivisione di dati sensibili che attengono alla propria sfera personale ed economica.