Paypal e l'account Postfinance

Quando la truffa è talmente spavalda da rasentare l'elogio.



[ZEUS News - www.zeusnews.it - 13-12-2022]

Intendiamoci subito: un crimine è un crimine e come tale va condannato. Una persona ha perso parecchi soldi a causa della truffa che sto per raccontarvi. Ma la sfacciataggine e la spavalderia della tecnica usata nel caso che sto per raccontarvi sono sorprendenti e confesso di avere un piccolo moto di ammirazione per l'astuzia di chi l'ha concepita e messa in atto.

Questa storia inizia con una telefonata. Una persona mi ha chiamato chiedendo aiuto per risolvere una truffa: ha usato il suo conto PayPal, sul quale aveva accumulato del denaro, per inviare a se stessa circa duemila franchi, dando ordine a PayPal di versarli sul suo conto Postfinance (la versione svizzera di un conto corrente presso l'ufficio postale), ma i soldi non sono mai arrivati.

Non ci sono indicazioni che il suo computer sia stato attaccato o che qualcuno abbia avuto accesso al suo conto PayPal, e l'ipotesi che qualcuno sia riuscito a dirottare il suo trasferimento di denaro mentre era in transito sembra tecnicamente improbabile. Frodi o errori da parte di PayPal o di Postfinance sembrano ancora più improbabili. La vittima dice di essere sicura di essere entrata direttamente nel proprio account PayPal e di aver dato le proprie credenziali al sito originale, per cui è da escludere un phishing o un man in the middle.

Sembra un mistero irrisolvibile, ma come mi capita spesso in situazioni come questa ho chiesto alla vittima di descrivermi in dettaglio i passi che ha compiuto mentre io li ripercorrevo usando il mio conto PayPal come ambiente di prova.

La vittima mi ha raccontato che era entrata nel suo conto e aveva cliccato sull'opzione di invio denaro nella pagina principale, etichettata Send money nella versione in inglese del sito.

L'ho fatto anch'io, e ho trovato appunto l'opzione di inviare denaro, bene in vista al centro della schermata:

1

La vittima mi ha spiegato che a questo punto aveva cliccato su Send money, visto che doveva inviare del denaro, e aveva digitato Postfinance nella casella di ricerca del destinatario.

Ho seguito i suoi passi, e quindi ho cliccato su Send money. Mi è comparsa la casella di ricerca:

2

In questa casella ho digitato Postfinance, come aveva fatto la vittima, e mi è comparso sullo schermo l'account Postfinance.

3

La vittima mi ha spiegato che aveva cliccato su questo account e aveva immesso la cifra da inviare, cliccando poi sul pulsante di invio. Da quel momento non ha più visto i propri soldi.

Ho provato a farlo anch'io, con un importo simbolico di un centesimo, ma mi sono trattenuto dal cliccare sul pulsante Send Money Now.

4

Avete capito come si è svolta la frode? Vi lascio un po' di tempo per pensarci. Scrivete la vostra soluzione nei commenti, se vi va.

---

ALLERTA SPOILER: La soluzione

La vittima ha commesso un errore abbastanza comprensibile: ha usato la funzione Send money invece di quella giusta, che ha un nome molto simile, ossia Transfer money.

In questo modo la vittima, invece di mandare i soldi al proprio conto Postfinance (che va preventivamente registrato fra i conti destinatari autorizzati), ha mandato i soldi a un truffatore che ha avuto l'idea semplice e geniale di creare un account di nome Postfinance e ha avuto la spavalderia di confidare che PayPal non avrebbe fatto alcun controllo significativo sui nomi degli account. E ha avuto ragione.

La vittima, poco pratica di PayPal e presa dalla fretta perché era in partenza per un viaggio, ha pensato che scegliendo Postfinance il sistema avrebbe dedotto dai dati del mittente a chi doveva mandare i soldi. L'errore iniziale è stato suo, certo, ma è stato facilitato dall'ambiguità fra inviare denaro e trasferire denaro e soprattutto dal fatto che PayPal non sta facendo nulla di efficace per evitare queste truffe: infatti ospita numerosissimi account che hanno nomi o nickname palesemente ingannevoli.

Grazie anche alle segnalazioni dei lettori nei commenti qui sotto e su Mastodon, è emerso che fra gli utenti di PayPal, oltre a Postfinance (con tanto di pratico e ingannevolissimo link rapido Paypal.me/postfinance), ci sono account che hanno nickname sfacciatamente fraudolenti, come Poste Pay, Poste Italiane, Credit Lyonnais American Express, Paypal Banque, Banca Bancomer, Banca Comercial Mexicana, Banca Intesa, Intesa Sanpaolo, Banca Sella o Mastercard Crédit Mutuel, insieme a tantissime persone che a quanto pare di nome o cognome fanno proprio Mastercard e a qualcuno che ha la curiosa sorte di chiamarsi Visa Mastercard o Debito Mastercard.

Si capisce che sono account fraudolenti e non intestati alle istituzioni finanziarie legittime dal nome indicato dopo la chiocciolina, che non c'entra nulla con quello dell'istituzione: dubito, per esempio, che Poste Italiane abbia aperto un account usando il nome utente @filomenapolito93.

5
6

La vittima è ora in disputa con PayPal per tentare di farsi restituire la somma, ma nel frattempo sto tentando di prevenire che ci siano ulteriori vittime avvisando il servizio antiphishing di PayPal, che secondo la guida online è raggiungibile inviando una mail a phishing@paypal.com.

In caso di sospettata frode, la guida online di PayPal raccomanda inoltre di contattare il servizio antifrode dell'azienda usando la pagina apposita (www.paypal.com/disputes/), ma questa pagina funziona solo se c'è stata una transazione fra vittima e presunto truffatore. Così ho mandato un centesimo al falso Postfinance: questo mi ha consentito di venire a sapere quale indirizzo di mail è associato all'account. È thierrybarthtiti113@gmail.com, e PayPal stessa ammette che l'account non è verificato.

7

Ho inviato a Paypal questa mail dal mio account presso la RSI:

Dear Sirs,

I am a journalist working for Swiss National Radio and TV.

I would like to report a fraudulent account on your service. The account is called "@Postfinance". It is impersonating the Swiss Post Office, but it is associated with the email account thierrybarthtiti113@gmail.com.

This account has already scammed someone, who contacted me to report the scam.

I am writing an article on PayPal fraud management, reporting this specific instance.

I would like to suggest that you block this "@Postfinance" account immediately. As a general rule, perhaps you could consider a filter that prevents or at least flags accounts that use well-known company names without verification.

Sincerely,
Paolo Attivissimo

Lugano, Switzerland

Adesso vediamo che succede. Personalmente trovo assurdo e inaccettabile che PayPal non effettui nessun controllo sui nomi o nickname scelti dagli utenti, filtrando almeno quelli che contengono parole chiave evidenti come bank, banque, credit, debit, poste, card.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 8)

non saprei se esistono differenze tra il sito di paypal in italia oppure in svizzera, non esistevano tra quello spagnolo e quello italiano...
29-12-2022 17:31

Francamente, nella versione italiana di PayPal mi sembra che le due opzioni trasferisci denaro ed invia siano ben distinte fra loro e in due diverse aree che rendono errori di questo tipo assai improbabili. Mi spiego meglio l'opzione di trasferimento è sotto al saldo del conto nell'area di sinistra dello schermo ed è rappresentato da un... Leggi tutto
27-12-2022 11:37

Non sono daccordo con quanti parlano di stupidità dell'utente. E non perché questa non ci sia, utenti stupidi ce ne sono, eccome. Ma a chiunque, me compreso può capitare il momento del coj**one e ritrovarsi per fretta, distrazione, o altro a fare qualcosa in maniera sbadata. Quando strumenti come i pagamenti online diventano in certi... Leggi tutto
17-12-2022 10:11

il classico caso della persona sbadata, che commette errori, però accoppiato al truffatore abile e preparato, che con lungimiranza del ragno aveva teso la sua tela per catturare la prima farfalla che vi si fosse avvicinata. E una regola della natura, i più deboli e i più stupidi devo perire per far progredire la specie.
16-12-2022 13:41

{Boris}
Non e' astuzia di chi ha rubato ma la stupidità di chi ha inviato i soldo. PayPal per permettere avere i soldi del conto PayPal al proprio conto bancario espone la funzionalità di TRASFERIMENTO del denaro che è diverso dai pagamenti o invio dei soldi per i beni e servizi o a amici e parenti rispettivamente. Per... Leggi tutto
14-12-2022 13:06

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A partire da quale età è utile un telefono cellulare?
Prima degli 8 anni
Da 8 a 10 anni
Da 10 a 12 anni
Da 12 a 14 anni
Da 14 a 16 anni
Da 16 a 18 anni
Dopo i 18 anni

Mostra i risultati (3556 voti)
Gennaio 2023
Libero e Virgilio Mail offline da giorni, verso la risoluzione
Pesci da compagnia fanno acquisti sulla Switch all'insaputa del padrone
Il ritorno del Walkman
Invecchiare al tempo della Rete
Apache contro Apache
Cessa il supporto a Windows 7. Microsoft: “Non passate a Windows 10”
Lo smartphone con schermo e-ink da 6,1 pollici
Dicembre 2022
WhatsApp dal nuovo anno non funzionerà più su 47 smartphone
LastPass, la violazione è molto più grave del previsto
Netflix, giro di vite sulla condivisione delle password
Digitale terrestre: si spegne la TV in definizione standard
Disorganizzazione informatica fa desistere i cybercriminali
Windows 7 e Windows 8: Microsoft annuncia la fine del supporto
Telefonia, inizia l'era degli aumenti infiniti
La settimana lavorativa di quattro giorni è un successo
Tutti gli Arretrati
Accadde oggi - 29 gennaio


web metrics