di Gabriella Lax - Alcuni dipendenti della P. A., qualche giorno fa, sono stati protagonisti di un tentativo di frode a causa di un atto di phishing. In realtà, a dispetto delle notizie circolate in un primo momento, non è stato violato il sistema di accesso al portale NoiPa, ma sono state rubate le credenziali di qualche utente.
Il Portale NoiPa non è stato violato
[Torna su]
Come chiarisce una nota della questura di Milano, il servizio polizia postale e delle comunicazioni il 20 dicembre scorso, ha segnalato la compromissione dei profili di alcuni dipendenti della P.A. sul portale "NoiPa". Nello specifico, è stato segnalato che l'attività criminosa in questione è consistita nell'accesso abusivo al profilo di alcuni dipendenti sul portale NoiPa. Dalla nota della Polizia si desume che il tentativo di frode non sia andato a buon fine e scopriamo perché.
Tentativo di phishing
[Torna su]
In particolare della questura non cita nessuna violazione informatica al portale NoiPa gestito da Sogei. Tuttavia chiarisce "Sebbene non siano state accertate le modalità con cui sono stati carpiti i dati personali per l'accesso al portale, l'estensione al momento limitata del fenomeno lascia ipotizzare che sia stata avviata una operazione di "phishing" diretta i singoli dipendenti". Secondo quanto segnalato dalla polizia di Stato l'attività criminosa posta in essere dagli hacker «è consistita nell'accesso abusivo al profilo del singolo dipendente della P.A. sul portale NoiPa e nella successiva sostituzione del codice Iban del conto corrente e del numero telefonico associato al fine di distrarre l'accredito degli emolumenti».
Una frode evitata…
[Torna su]
Lo stesso portale NoiPa specifica che sono stati rilevati limitati e circoscritti casi (15 su un totale di oltre due milioni di amministrati) di modifiche dell'Iban non confermati dal dipendente beneficiario. Tali casi sono stati prontamente gestiti, anche grazie all'intervento della Polizia Postale. È presto spiegato il perché: quando si fa una modifica al profilo il dipendente riceva una notifica di conferma. E proprio questa potrebbe aver messo in allerta i proprietari degli account in quanto non richiesta da loro ed evitato così la peggio. Poiché, presentando in tempo denuncia dell'accaduto, potrebbero aver evitato il perpetrarsi della frode e la perdita economica.