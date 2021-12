La truffa legata alle carte Postepay e Postepay Evolution: il finto SMS, il sito di Poste “tarocco” e persino una telefonata con la richiesta di una fantomatica transazione da 1.000 euro per evitare che la carta venisse bloccata. Ecco in cosa consiste e in che modo evitare la truffa come spiegano sul sito QuiCosenza.

COSENZA – Una truffa in piena regola, subdola e pericolosa, che colpisce anche i più avveduti ed esperti di tecnologia. E se si cade nella trappola, il rischio è quello di vedersi svuotato il proprio conto Postepay. Questa tipologia di carte sono state e continuano ad essere “gettonate” da truffatori e malfattori, perché estremamente diffuse anche tra i giovani, perchè hanno un basso costo di gestione, sono molto versatili per fare acquisti e trasferimenti di denaro e sono utilizzate da milioni di persone. Pochi giorni fa il tentativo di truffa ad una nostra giornalista.

L’SMS di phishing e il sito truffa

“Ne avevo sentito parlare così tanto, da essere convinta che mai sarei mai caduta nella trappola del phishing. Ed invece mi sbagliavo, perchè anche una persona attenta e scrupolosa come me, ha rischiato di essere truffata. È successo tutto qualche giorno fa: arriva un SMS sul cellullare dal mittente “Poste Info” (cosa che normalmente accade quando effetto delle operazioni) e che riportava la dicitura “Gentile cliente il suo conto e stato manomesso si prega di accedere ora”. Accanto al messaggio un link di riferimento da cliccare. Lì per lì non ho fatto molto caso al tipo di messaggio perché, scorrendo la cronologia, ho appunto visto la presenza di altri messaggi che, nel tempo, Poste Italiane mi aveva inviato, compresi alcuni con codici di sicurezza da inserire per effettuare delle operazioni.

Dopo aver abboccato al phishing e aver cliccato sul link, vengo reindirizzata su un sito clonato di Poste Italiane (o almeno così appariva visto che era replicato alla perfezione) in cui mi veniva chiesto di effettuare la compilazione di un modulo online inserendo nuovamente alcuni dati tra cui: numero di Carta Postepay, data di scadenza, codice di verifica CVV2, password di registrazione, e-mail, numero di telefono. In pratica lo scibile dei miei dati sensibili.

Sempre in buona fede, e assolutamente non conscia che mi trovavo su un finto form on-line, inserisco username e password. La mia fortuna? In realtà la password digitata era sbagliata. Semplicemente perchè non la ricordavo: tento nuovamente di inserirla due o tre volte, ma niente. Arrivo comunque all’ultimo step: l’inserimento del codice di sicurezza (codice OTP), la password usa e getta formata da un codice alfanumerico che viene generato in automatico e inviata all’utente tramite SMS o app, che avrei dovuto inserire nel sito truffa per completare la procedura.

Codice che in realtà non arriva perchè è chiaro che non mi trovo sul sito di Poste Italiane. In questa pagina truffa leggo però che “se il messaggio con il codice OTP non fosse arrivato, un operatore mi avrebbe supportato telefonicamente“. A questo punto sono sempre più che convinta che Poste ha bisogno che io apporti davvero qualche sorta di aggiornamento e cado sempre più nella truffa, anche perchè penso “se un operatore mi chiamerà al telefono significa che c’è qualcosa da risolvere sul mio conto”. Tra un impegno e un altro, però, accantono per un attimo la questione in attesa della telefonata.

La telefonata del finto operatore

Il giorno successivo, attorno all’ora di pranzo, il mio telefono squilla e vengo contattata dal numero 348/7157303 (scheda usa e getta già disabilitata) da quello che si presenta come un operatore incaricato da Poste Italiane. Ricollego allora la telefonata agli step falliti il giorno prima, con la password che non sono riuscita a inserire e il codice OTP mai arrivato. Dall’altro capo del telefono la voce di un uomo, giovane, che parla un italiano perfetto. Mi dice che è qui per aiutarmi a concludere questa procedura, altrimenti ci sarebbe il rischio di un blocco della carta Postepay Evoution, in quanto erano state riscontrate “delle anomalie”.

Sono collaborativa, penso che sia tutto e vero e ascolto le sue istruzioni. Tenta di mandarmi nuovamente un SMS che dovrebbe contenere il famoso codice OTP che sblocca la procedura di accesso al conto ma (per mia fortuna), non arriva nulla. Continuo ad essere tranquilla, devo inserire solo un codice, nulla di più per risolvere un problema. Ma il codice continua a non arrivare e allora l’operatore le prova tutte: mi invia un nuovo SMS per recuperare le credenziali, mi dice addirittura di chiudere e riaccendere il telefono… magari si sblocca. Niente. Tenta e ritenta, l’operatore allora escogita qualcos’altro e qui la truffa prende corpo.

La truffa si compie “transazione da 1.000 euro”

Il finto operatore prova allora a mandarmi più volte delle e-mail contrassegnate con il marchio Poste Italiane con un altro link che mi riporta al sito truffa, ma che credo ancora sia quello reale. Compio, per filo e per segno, quello che mi viene richiesto dal mio smartphone. Nell’attesa mi riferisce che, oltre alla mancanza del codice, la procedura è fallita perché nella compilazione avevo inserito anche “una password sbagliata” e, cosa incredibile mi dice anche quale sia. Questa cosa mi inquieta abbastanza, ma continuo a fidarmi perché penso: “se conosce la mia password può accedere ad un sistema informativo attraverso il quale supportarmi”.

Tenta allora di farmi digitare quella giusta, utilizzando il link che mi è arrivato per e-mail. E qui, la mia distrazione continua a salvarmi. Sì, perchè continuo a non ricordare mai questa benedetta password (mi succede sempre). Lo faccio presente al mio truffatore telefonico che mi dice di stare tranquilla “ho tutto il tempo, adesso vediamo di risolvere”. A pensarci ora, sfido che avesse tutto il tempo vista la cifra che voleva sottrarmi.

L’app Postepay e il tentativo di transazione

Niente, la password (per mia fortuna) continuo a non ricordarla e così, il finto assistente, cerca di mettere a segno l’ultimo tentativo per sottrarmi i soldi dal conto. Mi chiede di aprire sul cellulare l’applicazione Postepay (posso accedervi con impronta digitale e codice Poste Id di 6 cifre) e mi dice, “le comparirà una notifica e deve essere veloce a dare l’autorizzazione”. La notifica appare sul cellulare, la apro…. e scopro che si tratta di un’autorizzazione – per conto di un’azienda – al pagamento di 1.000 euro tondi tondi.

Resto stranita e chiedo spiegazioni del perchè dovrei pagare 1.000 euro e lui mi dice che “è tutto nella norma e che si tratta di una procedura per sbloccare il conto” e che “mi avrebbero rimborsato”. Ribatto e dico che non sono affatto sicura di questa cosa. “Altrimenti le blocchiamo la carta” mi fa presente il truffatore. A questo punto capisco che c’è qualcosa che non va e chiudo il telefono.

Il truffatore prova a chiamarmi più e più volte, ma io non rispondo. Vado di fretta, però ragiono: ho il numero di telefono dal quale sono stata contattata. Faccio allora la cosa più semplice: lo inserisco su un motore di ricerca e scopro che questo numero è stato usato più volte per una truffa, la stessa che stava per essere fatta a me. Leggo una testimonianza “Mia sorella è stata truffata oggi da questo numero che le ha rubato 1.000 euro spacciandosi per uno delle poste”. Resto di sasso, ci sono altri commenti, altre testimonianze e ovviamente le denunce alla polizia postale.



La morale di questa truffa e che basta davvero un amen per rimanere fregati. Se solo avessi digitato la password in maniera corretta, avrei fornito al raggiratore il modo più semplice (e stupido) per accedere al mio conto corrente consentendogli di svuotarlo. Non riuscendoci, ha provato a farmi effettuare una transazione fittizia (tentativo pure questo fallito). I siti tarocchi sono sempre più simili a quelli reali, con sempre meno errori di ortografia, ed è davvero facile finire adescati. Postepay e Poste Italiane sul loro sito ricordano a tutti come difendersi dalle frodi telefoniche.

