Paypal e l'account Postfinance
Quando la truffa è talmente spavalda da rasentare l'elogio.
[ZEUS News - www.zeusnews.it - 13-12-2022]
Intendiamoci subito: un crimine è un crimine e come tale va condannato. Una persona ha perso parecchi soldi a causa della truffa che sto per raccontarvi. Ma la sfacciataggine e la spavalderia della tecnica usata nel caso che sto per raccontarvi sono sorprendenti e confesso di avere un piccolo moto di ammirazione per l'astuzia di chi l'ha concepita e messa in atto.
Questa storia inizia con una telefonata. Una persona mi ha chiamato chiedendo aiuto per risolvere una truffa: ha usato il suo conto PayPal, sul quale aveva accumulato del denaro, per inviare a se stessa circa duemila franchi, dando ordine a PayPal di versarli sul suo conto Postfinance (la versione svizzera di un conto corrente presso l'ufficio postale), ma i soldi non sono mai arrivati.
Non ci sono indicazioni che il suo computer sia stato attaccato o che qualcuno abbia avuto accesso al suo conto PayPal, e l'ipotesi che qualcuno sia riuscito a dirottare il suo trasferimento di denaro mentre era in transito sembra tecnicamente improbabile. Frodi o errori da parte di PayPal o di Postfinance sembrano ancora più improbabili. La vittima dice di essere sicura di essere entrata direttamente nel proprio account PayPal e di aver dato le proprie credenziali al sito originale, per cui è da escludere un phishing o un man in the middle.
Sembra un mistero irrisolvibile, ma come mi capita spesso in situazioni come questa ho chiesto alla vittima di descrivermi in dettaglio i passi che ha compiuto mentre io li ripercorrevo usando il mio conto PayPal come ambiente di prova.
La vittima mi ha raccontato che era entrata nel suo conto e aveva cliccato sull'opzione di invio denaro nella pagina principale, etichettata Send money nella versione in inglese del sito.
L'ho fatto anch'io, e ho trovato appunto l'opzione di inviare denaro, bene in vista al centro della schermata:
La vittima mi ha spiegato che a questo punto aveva cliccato su Send money, visto che doveva inviare del denaro, e aveva digitato Postfinance nella casella di ricerca del destinatario.
Ho seguito i suoi passi, e quindi ho cliccato su Send money. Mi è comparsa la casella di ricerca:
In questa casella ho digitato Postfinance, come aveva fatto la vittima, e mi è comparso sullo schermo l'account Postfinance.
La vittima mi ha spiegato che aveva cliccato su questo account e aveva immesso la cifra da inviare, cliccando poi sul pulsante di invio. Da quel momento non ha più visto i propri soldi.
Ho provato a farlo anch'io, con un importo simbolico di un centesimo, ma mi sono trattenuto dal cliccare sul pulsante Send Money Now.
Avete capito come si è svolta la frode? Vi lascio un po' di tempo per pensarci. Scrivete la vostra soluzione nei commenti, se vi va.
---
ALLERTA SPOILER: La soluzione
La vittima ha commesso un errore abbastanza comprensibile: ha usato la funzione Send money invece di quella giusta, che ha un nome molto simile, ossia Transfer money.
In questo modo la vittima, invece di mandare i soldi al proprio conto Postfinance (che va preventivamente registrato fra i conti destinatari autorizzati), ha mandato i soldi a un truffatore che ha avuto l'idea semplice e geniale di creare un account di nome Postfinance e ha avuto la spavalderia di confidare che PayPal non avrebbe fatto alcun controllo significativo sui nomi degli account. E ha avuto ragione.
La vittima, poco pratica di PayPal e presa dalla fretta perché era in partenza per un viaggio, ha pensato che scegliendo Postfinance il sistema avrebbe dedotto dai dati del mittente a chi doveva mandare i soldi. L'errore iniziale è stato suo, certo, ma è stato facilitato dall'ambiguità fra inviare denaro e trasferire denaro e soprattutto dal fatto che PayPal non sta facendo nulla di efficace per evitare queste truffe: infatti ospita numerosissimi account che hanno nomi o nickname palesemente ingannevoli.
Grazie anche alle segnalazioni dei lettori nei commenti qui sotto e su Mastodon, è emerso che fra gli utenti di PayPal, oltre a Postfinance (con tanto di pratico e ingannevolissimo link rapido Paypal.me/postfinance), ci sono account che hanno nickname sfacciatamente fraudolenti, come Poste Pay, Poste Italiane, Credit Lyonnais American Express, Paypal Banque, Banca Bancomer, Banca Comercial Mexicana, Banca Intesa, Intesa Sanpaolo, Banca Sella o Mastercard Crédit Mutuel, insieme a tantissime persone che a quanto pare di nome o cognome fanno proprio Mastercard e a qualcuno che ha la curiosa sorte di chiamarsi Visa Mastercard o Debito Mastercard.
Si capisce che sono account fraudolenti e non intestati alle istituzioni finanziarie legittime dal nome indicato dopo la chiocciolina, che non c'entra nulla con quello dell'istituzione: dubito, per esempio, che Poste Italiane abbia aperto un account usando il nome utente @filomenapolito93.
La vittima è ora in disputa con PayPal per tentare di farsi restituire la somma, ma nel frattempo sto tentando di prevenire che ci siano ulteriori vittime avvisando il servizio antiphishing di PayPal, che secondo la guida online è raggiungibile inviando una mail a phishing@paypal.com.
In caso di sospettata frode, la guida online di PayPal raccomanda inoltre di contattare il servizio antifrode dell'azienda usando la pagina apposita (www.paypal.com/disputes/), ma questa pagina funziona solo se c'è stata una transazione fra vittima e presunto truffatore. Così ho mandato un centesimo al falso Postfinance: questo mi ha consentito di venire a sapere quale indirizzo di mail è associato all'account. È thierrybarthtiti113@gmail.com, e PayPal stessa ammette che l'account non è verificato.
Ho inviato a Paypal questa mail dal mio account presso la RSI:
Dear Sirs,
I am a journalist working for Swiss National Radio and TV.
I would like to report a fraudulent account on your service. The account is called "@Postfinance". It is impersonating the Swiss Post Office, but it is associated with the email account thierrybarthtiti113@gmail.com.
This account has already scammed someone, who contacted me to report the scam.
I am writing an article on PayPal fraud management, reporting this specific instance.
I would like to suggest that you block this "@Postfinance" account immediately. As a general rule, perhaps you could consider a filter that prevents or at least flags accounts that use well-known company names without verification.
Sincerely,
Paolo Attivissimo
Lugano, Switzerland
Adesso vediamo che succede. Personalmente trovo assurdo e inaccettabile che PayPal non effettui nessun controllo sui nomi o nickname scelti dagli utenti, filtrando almeno quelli che contengono parole chiave evidenti come bank, banque, credit, debit, poste, card.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
|
|
|
(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.
Commenti all'articolo (ultimi 5 di 8)
29-12-2022 17:31
27-12-2022 11:37
17-12-2022 10:11
16-12-2022 13:41
14-12-2022 13:06
Inserisci un commento - anche se NON sei registrato
|
|
||
|
- Al caffe' dell'Olimpo:
[GIOCO] Associazioni di idee - Windows 11, 10:
Avvio Lentissimo pc - Social network:
web.whatsapp quanto è affidabile? - Pronto Soccorso Virus:
DISDOWN.COM - Browser:
Firefox non sincronizza le schede su pc desktop
perchè????? - Software - generale:
Alternative a Dropbox - Tablet e smartphone:
MEMORIA SAMSUNG GALAXY XCOVER SM-G390F - Linux:
Sondaggio prestazioni - Windows 8, 7, Vista:
Facciamo chiarezza tra le varie versioni di Vista - Dal processore al case:
Hard disk esterno impazzito.
zeross