Nel periodo che va dal 17 al 28 gennaio 2022 il CERT-AgID ha rilevato una serie di campagne scam che sfruttavano il tema ‘Europol’, l’Ufficio Europeo di polizia, utilizzando i logo di istituzioni europee, delle forze dell’ordine ed in particolare il nome dell’attuale direttore di Europol Catherine De Bolle. I messaggi fanno riferimento a fantomatici procedimenti penali legati a reati di pedopornografia. Per convincere il destinatario-vittima della veridicità della contestazione indicata a suo carico, vengono riportate dichiarazioni riguardo a presunte prove su attività in rete, in particolare scambi di posta, registrazioni video e foto di nudo con minori. Questi messaggi hanno l’obiettivo di indurre l’utente a ricontattare i truffatori, esponendosi così a successive richieste di pagamento.

La campagna scam a tema Europol non è nuova. Già l’anno scorso, a partire dal mese di marzo, aveva colpito centinaia di cittadini in Belgio come descritto in questo articolo del quotidiano La Libre. Il livello di diffusione massivo della campagna ha indotto l’Europol a emettere un comunicato sul proprio sito in data 19 novembre 2021.

Di seguito alcune dei template utilizzati nelle varie campagne:

Analisi della campagna

I messaggi truffa sono realizzati utilizzando un mix di termini, loghi e acronimi di varie nazionalità con il risultato finale di un documento palesemente falso. Il testo infatti riporta spesso errori di grammatica, traduzioni non corrette, come ad esempio in questa frase: “Hai commesso il reato dopo essere stato preso di mira su Internet (sito pubblicitario), guardando video su carattere pedopornografia, le foto/video nudi di minorenni sono stati registrati dal nostro cyber-poliziotto e costituiscono la prova dei tuoi reati.“. Nella maggior parte dei casi i messaggi riportano la firma di figure apicali delle forze dell’ordine come Catherine De Bolle o il Direttore centrale anticrimine della Polizia di Stato Francesco Messina, o nomi di istituzioni europee come Fedpol ed Europol. In altri casi viene indicato un nominativo in modo apparentemente casuale, come in questo tweet in cui viene citata un’impiegata di sda.it.

Vista la bassa qualità dei messaggi, è molto probabile che la campagna non abbia portato alcun introito ai criminali. Al di là dell’abuso di nomi e immagini di istituzioni europee, è interessante rilevare come i criminali riescano ad attivare IBAN appartenenti a banche dell’Unione Europea, apparentemente senza alcun controllo.

Il CERT-AgID, a seguito di alcune segnalazioni pervenute, ha deciso in data 18/01/2021 di rispondere a una delle fake mail, con l’obiettivo di raccogliere ulteriori elementi sulla campagna. In realtà non era prevista alcuna risposta dato che è stato utilizzato un account mail diverso da quello della vittima originaria. La risposta è arrivata dopo soli 38 minuti e conteneva due modalità per la risoluzione del caso:

• Un procedimento giudiziario
• Una risoluzione amichevole

Ovviamente è stata seguita la seconda opzione. Come è noto, i criminali scelgono spesso di farsi pagare in criptovalute dato che le transazioni sono più difficili da tracciare rispetto a quelle veicolate attraverso i classici canali bancari. In realtà, in questa campagna i criminali hanno preferito il bonifico bancario, attraverso IBAN intestati a banche presenti nel territorio dell’Unione Europea, come la tedesca SolarisBank, la quale risulta non godere di ottime recensioni su Trustpilot (molti utenti lamentano di conti bloccati e soldi persi).

Come si vede dall’immagine sopra, in questo caso i criminali avevano richiesto la somma di € 18.578, ma gli importi non sono sempre gli stessi e variano a seconda del destinatario, come viene evidenziato dal tweet del ricercatore di sicurezza @jameswt_mht al quale sono stati chiesti “solo” € 9.978 per chiudere il caso.

Ovviamente anche gli IBAN utilizzati non sono sempre gli stessi: non sappiamo se vengono utilizzati IBAN diversi per ogni destinatario, ma sicuramente i criminali ne hanno a disposizione diversi. Ad esempio in questo caso vengono forniti due IBAN, uno francese (FR7621833000010001228643662) e uno spagnolo (ES2667130002550012234687) rispettivamente intestati alle filiali di Parigi e Madrid della banca PFS CARD SERVICES IRELAND LIMITED, S.E.

Un altro caso simile è stato segnalato dall’INPS il 25/01/2022: il testo, come nei precedenti casi, riporta accuse di reati di pornografia e pertanto intima alla vittima di mettersi in comunicazione con un fantomatico “Dipartimento di protezione dei minori”.

Per questo specifico caso il CERT-AgID ha intrapreso le seguenti azioni:

• segnalato l’indirizzo cyberprotection01@magenda.de al Deutsche Telekom Security GMBH, che ha subito provveduto intervenuto a interrompere l’attività malevola da quella casella
• segnalato l’indirizzo nazionale.polizia.informazioni@gmail.com a Google attraverso la form di abuse

Conclusioni

Da quasi un anno circolano truffe on line in cui vengono illegittimamente utilizzati i nomi del Direttore esecutivo e Vicedirettore esecutivo dell’Europol, così come di rappresentanti internazionali delle forze dell’ordine. Tali e-mail o messaggi sui social media sono scritti in lingue diverse e utilizzano il logo di Europol e di altri istituzioni europee/italiane, allo scopo di ingannare l’utente. Tali mail sono comunque facilmente riconoscibili come fake in quanto contengono errori di ortografia o grammatica e non sono scritte in modo professionale.

In generale, il consiglio è di non comunicare mai i propri dati personali o bancari tramite telefono o e-mail su richiesta di terzi.

In caso di ricezione di una mail sospetta con le caratteristiche sopra descritte bisognerebbe:

• non rispondere all’e-mail
• bloccare il mittente
• contrassegnare il messaggio come SPAM
• conservare l’e-mail e segnalarla alla Polizia Postale

Se si è caduti vittima della truffa si consiglia di:

• contattare immediatamente la propria banca in caso di trasferimento di denaro verso l’IBAN del truffatore
• sporgere denuncia alla Polizia Postale.

Indicatori di compromissione

Il CERT-AGID ha preventivamente condiviso gli IoC con le proprie organizzazioni accreditate.

Al fine di diffondere pubblicamente i dettagli delle campagne analizzate si riportano qui di seguito gli indicatori rilevati:

Link: Download IoC