Natale amaro per alcuni dipendenti pubblici: un attacco basato su tecniche phishing al sistema NoiPA ha permesso ad alcuni hacker di rubare stipendi e tredicesime dei lavoratori
La notizia è stata confermata pochi giorni prima di Natale: grazie a una complessa operazione basata su tecniche di phishing, alcuni hacker sono stati in grado di violare il portale NoiPA e di rubare gli stipendi e le tredicesime di alcuni dipendenti pubblici.
Secondo quanto riportato in una nota ufficiale sul sito NoiPA, 15 utenti (su un totale di oltre 2 milioni) sarebbero caduti nella trappola degli hacker e avrebbero permesso loro di modificare il dato “Iban” sul portale, facendo in modo che gli accrediti dello stipendio di dicembre e della tredicesima mensilità, venissero effettuati automaticamente sui conti dei ladri.
Ma andiamo con ordine.
NoiPA è un portale online gestito dal ministero dell’Economia e delle Finanze, che viene utilizzato per gestire a 360° il trattamento economico (quindi gli stipendi) e giuridico di tutti i dipenditi della Pubblica Amministrazione.
I lavoratori pubblici possono infatti verificare lo stato dei pagamenti, gestire i buoni pasto e i cedolini e usufruire di molti altri servizi online.
Per fare questo è quindi necessario che ogni utente comunichi sul suo profilo, tra i vari dati personali, anche l’IBAN per l’accredito dello stipendio mensile. Qualora il soggetto cambiasse banca, ad esempio, potrà modificare quel dato comodamente online, senza bisogno di recarsi di persona presso gli uffici.
É proprio la funzione del cambio iban che gli hacker hanno sfruttato per impadronirsi dei salari degli utenti.
Attraverso un invio massivo di migliaia di mail di phishing agli utenti iscritti al portale (quelle classiche mail spam che, molto simili a comunicazioni istituzionali, richiedono con una scusa la modifica di dati), alcuni lavoratori avrebbero consegnato agli hacker le informazioni per accedere al portale NoiPA e cambiare i dati dell’iban e del numero di cellulare.
Quest’ultimo dato è stato infatti fondamentale: la procedura del cambio dell’Iban prevede infatti un passaggio di autenticazione a due fattori. Una volta richiesto il cambio dato, il sistema effettua una chiamata di sicurezza per confermare che la persona che sta interagendo con la piattaforma sia realmente chi dice di essere.
Avendo modificato il numero quindi, i truffatori sono riusciti a gestire anche questo passaggio di sicurezza ulteriore.
Dopo questo attacco, prontamente comunicato alla Polizia di Stato che ha aperto un’indagine ufficiale, il sistema online di cambio dell’iban è stato disattivato e gli utenti, nel caso in cui volessero modificarlo, dovranno recarsi personalmente negli uffici territoriali della piattaforma.
La brutta notizia, per tutti i dipendenti colpiti, è che difficilmente il maltolto verrà restituito e non è previsto un rimborso in quanto le credenziali sono state consegnate agli hacker direttamente dai proprietari (seppur con l’inganno), i quali ne sono responsabili in prima persona.