Deve ringraziare la competenza e, anche, la rapidità degli uomini della Sezione Operativa per la Sicurezza Cibernetica della Polizia Postale di Crotone una donna del capoluogo che si è vista frodare del sudato stipendio ma recuperato dagli agenti che sono riusciti a ricostruire i numerosi passaggi dei soldi su diversi conti dei truffatori.
La vicenda risale al 23 del mese scorso, giorno in cui come tutti i dipendenti pubblici una la vittima aspettava di vedersi accreditato il salario.
Passate diverse ore, però, dei soldi nessuna traccia. Insospettita e in cerca di motivazioni la donna accedeva al portale NoiPA, sistema del Mef per il pagamento dei dipendenti delle amministrazioni pubbliche, scoprendo però che l’Iban indicato non corrispondesse al suo.
L’accesso illegale al Noipa
Dopo aver cercato in diversi modi di bloccare la disposizione di pagamento a favore di un conto non proprio, ha così contattato la Polizia Postale pitagorica i cui esperti hanno capito subito che qualcuno avesse attivato fraudolentemente un account Spid, acquisendo l’identità digitale della donna e, accedendo al sistema NoiPA, a sua insaputa aveva modificato l’Iban.
Acquisite telefonicamente le informazioni indispensabili, gli investigatori hanno immediatamente avviato le indagini e, ricostruendo alcuni trasferimenti che il denaro aveva subito – un escamotage per renderne difficoltosa la tracciabilità – sono comunque riusciti a bloccare i conti e mettere al sicuro il denaro. Le indagini proseguono alla ricerca degli autori della frode.
Le credenziali “parallele”
Gli agenti della Postale spiegano che la tecnica utilizzata sfrutta una vulnerabilità del sistema Spid, che consente la creazione di più identità digitali valide per la stessa persona.
È così che i criminali, in possesso di dati anagrafici e di foto di documenti d’identità (ottenuti spesso tramite phishing o acquistati nel dark web), riescono ad attivare un secondo Spid a nome della vittima.
Con queste credenziali “parallele”, gli hacker possono accedere a portali cruciali come NoiPA, Inps o l’Agenzia delle Entrate. Una volta dentro, modificano l’Iban registrato, dirottando stipendi, pensioni o rimborsi fiscali verso i propri conti correnti.
L’attivazione di un doppio Spi non blocca l’accesso del primo, motivo che non consente al legittimo titolare di accorgersi nell’immediato del furto d’identità subito.
cn24tv.it
