“Salve, ho creato un gruppo privato su WhatsApp di amici e colleghi ne vuoi far parte?” Inizia così un’odissea durata quasi 24h dove sono vittima di un furto di identità. L’ account WhatsApp esce dalla mia disponibilità e da esso partono messaggi verso i miei contatti nei quali si richiede denaro per coprire presunte spese online. Tecnicamente si la trappola nella quale sono caduto si chiama Phishing ma a monte c’è un lavoro certosino, Information Gathering, per ingannare l’utente. Nonostante formale denuncia e conseguente segnalazione alla Polizia Postale, per risolvere il problema ho dovuto contattare WhatsApp e chiedere di disattivare l’account e, infine, bloccare la Sim. In definitiva per poter usufruire di tutte le applicazioni del mio telefono ho dovuto attivare una nuova utenza telefonica.
Vasto. Mercoledì 5 maggio. Sono da poco passate le 19, comodamente seduto sul divano sono intento a guardare la tv, quando il suono del campanellino del mio telefonino si mescola ai suoni e ai rumori che provengono dalla televisione. Da mio account Twitter è appena arrivata una notifica: tale Veronica Gervaso ha iniziato a seguirmi.
Incuriosito dal cognome, prima di ricambiare il follow (su Twitter non si dice “amicizia” come su Facebook), controllo su Google se questa persona esiste o se sia un nome di fantasia. Una verifica comunque limitata a delle informazioni di carattere generale. Il cognome mi fa subito pensare al giornalista e scrittore Roberto Gervaso, scomparso lo scorso 2 giugno. Una intuizione esatta: infatti tale Veronica Gervaso non solo esiste anche nella realtà (giornalista milanese del TG5, sposata con tre figli) ma è figlia proprio di Roberto Gervaso. Pochi dati che però mi son bastati a ricambiare il follow.
Passano pochi minuti ed ecco che il campanellino social del telefonino squilla ancora. La Gervaso mi ha appena inviato un messaggio in posta privata. “Salve, ho creato un gruppo privato su whatsapp di amici e colleghi ne vuoi far parte?”. Sono esattamente le 19.05 di mercoledì 5 maggio. Da questo momento in poi, per circa 24 ore successive, la mia quotidianità viene completamente stravolta.
All’invito della Gervaso rispondo “Volentieri”. Lei mi ricorda di darle il mio numero di telefono per potermi inviare il messaggio di invito e partecipare al gruppo. Digito il mio numero di telefono e nel giro di qualche secondo arriva un sms. Nel messaggio viene riportato un link al quale bisogna cliccare per poter accedere. Clicco e magicamente invece di entrare nel gruppo segreto di WhatsApp ne perdo totalmente il controllo. Non riesco più a entrarvi nonostante mi viene inviato il codice verifica di sei cifre utile per poter accertare la validità del mio numero telefonico e, di conseguenza, l’account di messaggeria istantanea. A distanza di qualche minuto inizio a ricevere chiamate di amici e colleghi che mi informano di essere stati raggiunti da messaggi, da me inviati, nei quali si fa esplicita richiesta di denaro. Dopo un breve saluto, il malintenzionato/delinquente chiede: “Mi serve un favore se non ti dispiace” e continua “devo pagare delle cose su internet ma la mia carta di credito è scaduta. Posso usare la tua e ti faccio un bonifico, oppure in contanti”. Fortunatamente i tanti messaggi inviati non sono andati a buon fine: nessuno dei miei contatti ha abboccato. Però, in quelle ore, il problema che qualcuno di essi potesse cadere nella truffa c’era.
Paradossalmente, però, il dramma doveva ancora iniziare: se è traumatico essere hakerati, lo è ancor di più toccare con mano l’impotenza con la quale la giustizia italiana approccia a questo problema.
Il recupero della Sim
Dopo le prime chiamate, e dopo aver preso coscienza di non poter più controllare il mio account WhatsApp, cerco di capire cosa fare. Dapprima disinstallo l’applicazione andando a cancellare anche tutti i dati contenuti. Dopodiché attendo qualche minuto e chiamo il mio operatore telefonico. Spiego l’accaduto, ma dall’altra parte della cornetta la risposta è: “da qui non possiamo fare niente, deve recarsi in uno dei nostri negozi così possiamo fare delle verifiche”. Controllo l’orologio, sono le 19.30. Scendo in strada e corro verso lo store del mio operatore telefonico più vicino. Fortuna vuole che è a poche centinaia di metri da dove abito. Nel mentre mi reco al negozio provo a installare nuovamente WhatsApp. Tutto fila liscio fino a quando non mi viene chiesto di inserire il codice a 6 cifre. Qui si blocca tutto: il mio numero è in mano ad altre a persone. Giungo a destinazione. Davanti a me due clienti. Attendo qualche minuto, poi è il mio turno. Con passo svelto e sicuro mi approccio al bancone e, con altrettanta precisione, spiego l’accaduto all’operatore dinanzi a me. Questo, con molta calma, mi chiede il numero di telefono. Lo immette nel suo terminale e mi chiede: “E’ lei Alessandro Corroppoli …?”. Rispondo affermativamente. Mi chiede un documento per un controllo ulteriore e mi liquida con un “Mi spiace, ma non possiamo fare niente. A noi il telefono, l’utenza, risulta in suo possesso. L’unico cosa che può fare è andare in un centro assistenza e farsi controllare il telefonino per capire se è stato introdotto qualche virus”.
Deluso per il nulla di fatto, ringrazio e saluto. A questo punto della giornata non mi restava che andare nel più vicino centro di assistenza. Controllo l’orologio, sono le 19.45 e penso “Tanto chiudono alle otto, magari trovo aperto” penso. Invece aveva chiuso alle 19.30. La riapertura era prevista alle 10 del giorno successivo. A pochi metri, però, c’è il commissariato di Polizia. Citofono per chiedere se ci fosse possibilità di fare una denuncia. Niente, mi si dice di passare la mattina successiva dopo le 8.30.
Deluso e arrabbiato mi avvio verso casa. Da qui inizio a chiamare amici e i parenti informandoli di quanto mi fosse accaduto. Al contempo scrivo un post su Facebook dove informo tutti i miei contatti, mettendoli in guardia da messaggi “strani” inviati a mio nome e scusandomi con loro. Infine, come ultimo tentativo, per limitare i danni, stacco sia il collegamento Wi-Fi che la Connessione dati. Non mi resta che aspettare il mattino seguente.
Il mattino seguente, quindi, mi reco al commissariato di Polizia di Vasto (quando è successo il fatto mi trovavo a Vasto). Spiego in maniera dettagliata quanto accaduto all’ufficiale di Polizia preposto e all’Ispettore. Gli uomini in divisa pongono delle criticità al mio racconto e più volte mi viene ripetuto: “noi non possiamo risolvere la cosa” oppure “bisogna andare dalla Polizia Postale” e ancora “basta disinstallare tutto e si blocca”. Dopo una buona mezz’ora di confronto riesco, finalmente, a far mettere nero su bianco l’accaduto e a fare la mia formale denuncia verso ignoti. Intanto dal mio account WhatsApp continuano ad essere inviati messaggi. Così, per tentare di rallentarlo e magari bloccarlo, abbiamo iniziato a chiamarlo. Decine di squilli sino a quando risponde e con voce alterata, evidentemente registrata in precedenza, risponde con una sequenza di: “Cazzo vuoi?!” Le chiamate, naturalmente, non partivano dal mio telefono ma dal cellulare di un amico che mi ha gentilmente accompagnato. Firmo la denuncia, ringrazio e saluto i poliziotti e mi reco al centro di assistenza. Anche qui, ovviamente, sono costretto a spiegare il mio problema. L’operatrice mi dice subito che loro riformatteranno il telefono salvandomi i dati perché: “è l’unica cosa che possiamo fare”. Operazione questa durata un paio di ore e di 15 euro. Telefono formattato e attesa della sera per poter provare ad acceder nuovamente al mio WhatsApp (quando si disinstalla l’applicazione e si prova a riattivarla, la stessa si mette in pausa per una decina di ore). La speranza, una volta ripreso il cellulare al centro di assistenza, era quello di aver bloccato il ladro. Ed invece no, niente da fare: era ancora vivo, vegeto ed operativo.
A questo punto chiamo la Polizia Postale di Campobasso. Spiego l’accaduto: lì informo della denuncia fatta dai loro colleghi di Vasto e chiedo come possa fare per riprendere il totale possesso del telefono. “Noi fino a quando non si apre un fascicolo di indagini e il Magistrato di turno ci da il via non possiamo fare niente”. Tempi lunghi quindi, e il delinquente che continua a mandare messaggi a mio nome? “E’ un problema che deve risolvere contattando direttamente WhatsApp”.
Contattare WhtasApp, come si fa? Fortunatamente il poliziotto della postale di Campobasso riesce a fornirmi un indirizzo di posta elettronica (support@support.whatsapp.com). Allo stesso tempo anch’io riesco a trovare un’ altra mail sulle pagine dell’applicazione. Scrivo a entrambi gli indirizzi utilizzando due mail diverse. In entrambi i casi, gli Admin della piattaforma messaggistica hanno dato risposte lunghe che non arrivavano mai al punto o, comunque, ci giravano intorno. Così dopo aver capito che non sarei mai riuscito a riavere il mio account WhatsApp, almeno in tempi brevi, nell’ultimo messaggio inviatomi trovo la soluzione al problemi: disattivazione dell’account a WhatsAppa e blocco della Sim al mio gestore telefonico. Solo facendo così sono riuscito a disinnescare l’azione delinquenziale di cui ero stato vittima. Sono le 15.40 di giovedì 6 maggio: per tornare ad avere il controllo totale di tutte le applicazione sul mio telefono, sono stato costretto a “uccidere” la mia vecchia utenza mobile e attivare una nuova.
Cosa è stato fatto per ingannarmi?
Dietro questi furti online c’è un lavoro certosino che con il passare del tempo diventa sempre più professionale. Nella fattispecie, io, sono stato oggetto di una tecnica chiamata Information Gathering. In sostanza il mio profilo è stato analizzato in maniera tale da poter rientrare in un determinato contesto. Il mio in quello del giornalista: infatti è stato utilizzato il profilo falso di una giornalista. Oltre alla professione ci accomunavano anche altri dati quali amicizie e frequentazioni varie (siti e blog) della rete. La stessa Veronica Gervaso, quella vera, aveva denunciato l’esistenza del profilo fake già dal 27 aprile. Ma Twitter non aveva posto rimedio. Anzi nella rete, prima di me, erano caduti altri giornalisti e anche alcuni economisti. Dopo aver abboccato all’amo, la vittima finisce nella trappola del Phishing ovvero una truffa informatica effettuata inviando un’e-mail, o messaggio, con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale richiesta con ragioni di ordine tecnico. Tutte tecniche di Social Engineering. In tutto questo la Giustizia italiana è anni luce indietro sia come velocità di intervento che come semplice denuncia dell’accaduto. Oggigiorno in ogni commissariato o caserma dovrebbe esserci un addetto specifico che si occupi di truffe online, capace di poter dare un sostegno alla risoluzione. A ciò bisogna aggiungere i tempi biblici della legge italiana che consentono al furfante di poter “lavorare” in totale tranquillità e di poter anche sparire da impunito. L’unica soluzione è quella di dover rinunciare alla propria utenza e di attivarne un’altra, sperando che qualcuno dei propri contatti non sia finito nella trappola.
commenta