Phishing smascherato con l’operazione “Portorico”

Un’articolata truffa basata sul phishing è stata smascherata dalla Polizia di Stato nell’ambito dell’operazione denominata “Portorico”. Le indagini, avviate in seguito alla denuncia di un cittadino milanese di ottant’anni, hanno portato a diciotto perquisizioni in Toscana e Campania. La vittima è stata indotta con l’inganno a trasferire ben 241.000 euro, credendo di mettere al sicuro i propri risparmi da un attacco informatico.

Il meccanismo della truffa: dall’SMS alla telefonata

La frode iniziava con un SMS apparentemente inviato dall’istituto di credito della vittima. Il messaggio, noto come smishing, avvisava di un presunto attacco informatico in corso sul suo dispositivo e sui conti correnti collegati. Per bloccare l’attacco, il testo invitava a cliccare su un link che avviava una finta procedura di messa in sicurezza del capitale. Subito dopo, la vittima riceveva una telefonata da un falso operatore del servizio antifrode della banca. Questo complice, con tono rassicurante e professionale, confermava l’attacco e convinceva il malcapitato a spostare tutti i risparmi su conti correnti definiti “sicuri”, fornendo gli IBAN di destinazione. In realtà, questi conti erano gestiti direttamente dai truffatori, che in questo modo si appropriavano del denaro.

La tecnica dello spoofing: l’inganno che rende la frode credibile

Uno degli elementi chiave che ha reso la truffa così efficace è l’uso dello spoofing. Questa tecnica informatica permette ai criminali di falsificare il numero di telefono da cui proviene un SMS o una chiamata. Utilizzando sistemi VoIP (Voice over Internet Protocol), i truffatori possono scegliere liberamente quale numero far apparire sul display del destinatario. In questo caso, il numero visualizzato corrispondeva a quello ufficiale della banca, eliminando così ogni sospetto nella vittima. La stessa tecnica viene utilizzata in una variante della truffa, in cui i malintenzionati si spacciano per operatori della Polizia Postale, facendo apparire il numero di telefono di un vero ufficio di polizia.

Come proteggersi dal phishing e dallo spoofing

Le frodi di questo tipo sono in costante aumento e sfruttano la fiducia dei cittadini verso le istituzioni. Per evitare di cadere in trappola, è fondamentale seguire alcune regole di prudenza. La Polizia di Stato e gli stessi istituti bancari forniscono indicazioni chiare per riconoscere e sventare questi tentativi di raggiro.

• Diffidare delle richieste urgenti: Non fidarsi mai di chi, al telefono o via messaggio, chiede di eseguire bonifici o altre operazioni di pagamento per motivi di sicurezza. Le procedure bancarie reali non prevedono mai lo spostamento di denaro su altri conti per proteggerlo.
• Le banche non chiedono dati: Nessun istituto di credito o forza dell’ordine chiederà mai di comunicare per telefono, SMS o email le credenziali di accesso all’home banking, i codici PIN o altri dati sensibili.
• Verificare sempre in autonomia: In caso di dubbi, è essenziale interrompere la comunicazione. Successivamente, si deve contattare direttamente la propria banca o la Polizia Postale utilizzando i numeri di telefono ufficiali presenti sul sito web dell’istituto o sui documenti contrattuali.
• Non cliccare su link sospetti: Evitare di cliccare su link contenuti in SMS o email inattese, anche se sembrano provenire da fonti attendibili. È preferibile accedere ai servizi online digitando l’indirizzo del sito direttamente nel browser.
• Il numero sul display non è una garanzia: Ricordare che la tecnica dello spoofing può ingannare. Il fatto che il numero visualizzato sia corretto non è una prova sufficiente dell’identità di chi chiama.

Adottare un approccio cauto e scettico verso comunicazioni inattese è la prima e più importante linea di difesa contro le truffe informatiche. Segnalare ogni tentativo di frode alle autorità competenti aiuta a contrastare il fenomeno e a proteggere altri consumatori.

Per assistenza o per segnalare il tuo caso, contatta Sportello Consumatori.

Contattaci su WhatsApp