26 CONDIVISIONI
video suggerito
video suggerito

L’ultima truffa online ha colpito i dipendenti pubblici: nel mirino stipendi e tredicesime

Un attacco di phishing su larga scala ha colpito i dipendenti delle pubbliche amministrazioni, che per gestire i propri stipendi si collegano tutti allo stesso portale, NoiPA. Rivelando inavvertitamente le proprie credenziali di accesso al sito, alcuni dipendenti hanno permesso ai truffatori di dirottare i loro stipendi su altri conti corrente.
Entra nel nuovo canale WhatsApp di Fanpage.it
A cura di Lorenzo Longhitano
26 CONDIVISIONI
truffa inps

L'ultima truffa online tra le numerose che ormai affiorano in Rete ogni mese è particolare per almeno due motivi: da una parte ha colpito solamente i dipendenti pubblici, prendendo di mira gli iscritti al portale NoiPA attraverso il quale questi ricevono i loro stipendi; dall'altra è caduta proprio sotto Natale, per mettere le mani non solo sugli stipendi, ma anche sulle tredicesime delle potenziali vittime. Si è trattato di un vero e proprio attacco di phishing su larga scala: a darne notizia è stato un documento della Questura di Milano emerso online in questi giorni e ripreso da numerose testate, che però hanno inizialmente parlato in modo erroneo di attacco hacker.

Cosa è successo

Il portale NoiPA è un sito sul quale i dipendenti di tutti i rami delle pubbliche amministrazioni gestiscono la maggior parte degli aspetti del proprio rapporto con il datore di lavoro, compreso l'accredito degli stipendi. È su questo sito che — tra le altre cose — i dipendenti ricevono le notifiche dei pagamenti e impostano il conto corrente sul quale riceverli. I profili gestiti sono più di due milioni: non stupisce dunque che — come racconta il documento della Questura — dei truffatori si siano ingegnati per comprometterne il maggior numero possibile e modificarne i codici IBAN associati per dirottare sui propri conti corrente gli emolumenti in partenza in questi giorni.

Non è stato un hacker

Per farlo però i malintenzionati non hanno violato alcun sistema informatico ma sono ricorsi al phishing, una tipologia di truffa ormai molto nota nella quale si cerca di carpire le informazioni personali delle vittime una ad una, per poi impersonarle e ottenerne i relativi benefici — in questo caso le chiavi di accesso al portale NoiPA. L'ipotesi della questura è che i truffatori abbiano lanciato un attacco di phishing via email su larga scala, con missive che, fingenosi messaggi legittimi provenienti dai datori di lavoro, chiedevano alle vittime le credenziali di accesso a NoiPA e il loro numero di telefono.

Leggi anche
Trasformare i bambini in piccole star dei social spalanca un inferno: tutte le molestie che arrivano

Il nodo del numero di telefono

Tanto è bastato, sembrerebbe dal documento della Questura, per effettuare svariate operazioni di cambio dell'IBAN. Per evitare illeciti, il meccanismo di sicurezza di NoiPA effettua infatti una telefonata di controllo al numero di telefono associato al profilo del dipendente, ma con le informazioni ottenute sembra che i truffatori siano stati in grado di sostituire con facilità anche il numero di telefono legato ai controlli, rendendo così la misura priva di efficacia.

Le vittime coinvolte

Su quest'ultimo passaggio non è ancora stata fatta chiarezza, anche se i gestori di NoiPA hanno già diffuso una nota su un altro aspetto importante della vicenda: l'entità dei danni subiti dagli utenti. Fortunatamente la nota diffusa parla di "limitati e circoscritti casi", ovvero di circa 15, "di modifiche dell'IBAN non confermati dal dipendente beneficiario. Tali casi — continua la nota — sono stati prontamente gestiti, anche grazie all’intervento della Polizia Postale". Per precauzione NoiPA ha disattivato temporaneamente la procedura che permette di modificare gli IBAN di riferimento direttamente online, ma non è detto che il numero di persone colpite rimarrà effettivamente zero: alcuni potrebbero non aver ancora allertato le autorità competenti o non essersi resi conto di aver subito una truffa.

In uno scenario simile, in cui i pagamenti siano stati effettivamente dirottati con successo agli IBAN dei truffatori, è difficile che i legittimi destinatari possano recuperarli: i truffatori non hanno infatti violato alcun sistema informatico, basando il proprio attacco solamente sulle informazioni fornite loro (anche se inconsapevolmente) dalle vittime. La responsabilità dell'accaduto potrebbe dunque ricadere sulle spalle di queste ultime.

News
26 CONDIVISIONI
Nata con due uteri, partorisce due volte in due giorni: come è possibile
Nata con due uteri, partorisce due volte in due giorni: come è possibile
di Videonews
Cos’è il tumore al cuore per cui è stato operato Flavio Briatore: sintomi e terapia
Cos’è il tumore al cuore per cui è stato operato Flavio Briatore: sintomi e terapia
di Videonews
Bonus computer 2024 da 300 euro, chi può ottenerlo e come fare domanda con l’app Io
Bonus computer 2024 da 300 euro, chi può ottenerlo e come fare domanda con l’app Io
di Videonews
Immagine
Meta permetterà agli utenti di vendere oggetti nel suo metaverso
Come funzionano i mondi virtuali
Quanto guadagneranno
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
Notifiche
Effettua il Login
innovazione
api url views