Nota: alcuni dettagli di questo articolo sono stati modificati rispetto alla realtà per esigenze di narrazione e per proteggere le identità delle persone coinvolte. La sostanza tecnica dell’articolo è inalterata.
Intendiamoci subito: un crimine è un crimine e come tale va condannato. Una persona ha perso parecchi soldi a causa della truffa che sto per raccontarvi. Ma la sfacciataggine e la spavalderia della tecnica usata nel caso che sto per raccontarvi sono sorprendenti e confesso di avere un piccolo moto di ammirazione per l’astuzia di chi l’ha concepita e messa in atto.
Questa storia inizia con una telefonata. Una persona mi chiama chiedendo aiuto per risolvere una truffa: ha usato il suo conto PayPal, sul quale aveva accumulato del denaro, per inviare a se stessa circa duemila franchi dando ordine a PayPal di versarli sul suo conto Postfinance (la versione svizzera di un conto corrente presso l’ufficio postale), ma i soldi non sono mai arrivati.
Non ci sono indicazioni che il suo computer sia stato attaccato o che qualcuno abbia avuto accesso al suo conto PayPal, e l’ipotesi che qualcuno sia riuscito a dirottare il suo trasferimento di denaro mentre era in transito sembra tecnicamente improbabile. Frodi o errori da parte di PayPal o di Postfinance sembrano ancora più improbabili. La vittima è sicura di essere entrata direttamente nel proprio account PayPal e di non aver dato le proprie credenziali al sito originale, per cui è da escludere un phishing o un man in the middle.
Sembra un mistero irrisolvibile, ma come mi capita spesso in situazioni come questa chiedo alla vittima di descrivermi in dettaglio i passi che ha compiuto, usando il mio conto PayPal come ambiente di prova. La vittima mi racconta che è entrata nel suo conto e ha cliccato sull’opzione di invio denaro nella pagina principale, etichettata Send money nella versione in inglese del sito.
Lo faccio anch’io, e trovo appunto l’opzione di inviare denaro al centro della schermata:
La vittima mi spiega che a questo punto ha cliccato su Send money, visto che doveva inviare del denaro, e ha digitato Postfinance nella casella di ricerca del destinatario.
Seguo i suoi passi, e quindi clicco su Send money. Mi compare la casella di ricerca:
In questa casella digito Postfinance, come ha fatto la vittima, e mi compare l’account Postfinance.
La vittima mi spiega che ha cliccato su questo account e ha immesso la cifra da inviare, cliccando poi sul pulsante di invio. Da quel momento non ha più visto i propri soldi.
Provo a farlo anch’io, con un importo simbolico di un centesimo, ma mi trattengo dal cliccare sul pulsante Send Money Now.
Avete capito come si è svolta la frode?
Vi lascio un po’ di tempo per pensarci. Scrivete la vostra soluzione nei commenti, se vi va.
Commenti
Posta un commento