Il Sig. XXXXX riferisce di aver subito in data _____________, un’azione di phishing ad opera di ignoti.
Lo scrivente riporta nella presente la sequenza di eventi e di dati che è stato possibile evincere e ricavare dall’analisi del pc sul quale è avvenuto l’evento criminoso.
Dati del computer
Il pc del Sig. XXXXX è un Hp Pavillon Desktop 595-p0xxx con le seguenti caratteristiche:
Intel® Core(TM) i3-8100 3.60 Ghz con 8GB di Ram
Il sistema operativo è un Windows 11 Home con regolare licenza, installato il 26/11/2021.
Dal punto di vista della sicurezza, il pc oltre a conservare attive le funzionalità del Windows Defender, è dotato di una installazione aggiornata degli antivirus Avg (visibile anche nella schermata sulla barra degli strumenti) e Malwarebytes.
Come è noto però, la presenza di software antivirus non può proteggere dal phishing, una forma di truffa che soltanto in parte è di tipo informatico, in quanto si basa anche sulla capacità dei malfattori di carpire la fiducia della vittima.
In data ______ dunque, il Sig. XXXXX, mentre navigava in rete con il browser Chrome, ha improvvisamente ricevuto una serie di messaggi banner che lo avvisavano della presenza di un pericoloso virus all’interno del suo pc. Non solo: i messaggi avvisavano anche della presenza nella stessa macchina di files illegali che avrebbero causato l’intervento della Guardia di Finanza e una conseguente multa. Per ovviare al problema, dicevano i banner, occorreva telefonare a un non meglio precisato servizio di sicurezza telefonico al seguente numero: *********. Da notare che cercando il numero su Google si ottiene tra i risultati una pagina che riguarda un numero che cambia solo per l’ultima cifra. I commenti e le lamentele in essa presenti riportano casi del tutto simili a quello qui descritto.
La persona al telefono, la cui identità non è nota, riusciva a convincere il Sig. XXXXX della immediata necessità di un intervento atto a ripulire il pc dai fantomatici virus.
Da un punto di vista informatico il meccanismo messo in moto dai malfattori è noto. Tramite un link presente nella pagina web visitata, viene scaricato nel pc della vittima un falso antivirus che genera i messaggi allarmistici di cui sopra. Il file incriminato è presente nel pc del Sig. XXXXX, nella cartella “Download” e altri non è che il famigerato Pcprivacyprotect.
Il Sig. XXXXX ha chiamato il numero telefonico indicato e un malfattore lo ha convinto a versare la somma di 399,50 Euro a saldo di un intervento risolutivo di eliminazione virus che non è mai avvenuto, in quanto la presenza di un’infezione era del tutto falsa.
Per effettuare il versamento il Sig. XXXXX ha utilizzato la carta Postepay n. *********** a lui intestata. E ha fornito peraltro alcuni suoi dati personali: il nome, il cognome, l’indirizzo di residenza. Telefonando al numero indicato ha fornito anche, implicitamente, il proprio numero di cellulare e, nel carteggio successivo, il proprio indirizzo mail.
Il versamento e la truffa sono inoltre testimoniati dall’estratto conto della carta prepagata e dal carteggio email successivo alla telefonata.
Dopo aver pagato, il Sig. XXXXX si è reso conto che qualcosa non tornava, così ha chiesto il recesso con contestuale rimborso. La risposta dei malfattori è stata naturalmente negativa. In calce alla loro replica si possono leggere chiaramente i dati del pagamento che hanno ricevuto e la richiesta di rimborso fatta dalla vittima della truffa.
Si noti come in calce alla mail vengano riportati due loghi di note case di software che producono antivirus, come se la fantomatica azienda avesse in qualche modo una partnership con esse.
Si noti altresì come gli indirizzi mail di riferimento cambino, con l’intento probabilmente di confondere ancora di più la vittima. Al primo contatto la mail di riferimento è *********, nei contatti successivi diventa *********
Nella mail in cui rifiutano il rimborso i mittenti fanno cenno in un italiano approssimativo a un consenso contrattuale che il Sig. XXXXX avrebbe fornito, come se quel supposto consenso non fosse scaturito dall’inganno perpetrato tramite il file Pcprivacyprotect.
Il dominio ************, sito non attivo, risulta registrato presso un provider australiano. Del registrante risulta soltanto la residenza nella provincia cinese di Jiangsu.
Il dominio **********, sito attualmente attivo, risulta registrato presso un hoster tedesco. Anche in questo caso del registrante risulta soltanto la residenza cinese presso la locaità di Ahnui.
Conclusioni
Il Sig. XXXXX è stato dunque vittima di un’azione di phishing che lo ha privato, oltre che della somma di denaro ingiustamente versata, anche di alcuni tra i suoi dati personali sensibili.
Si allegano in calce i codici MIME del carteggio mail avvenuto con i truffatori, le chermate tratte dal pc della vittima, i dati Whois dei siti incriminati.