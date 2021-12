Ascolta la versione audio dell'articolo

Il sistema dei controlli green pass aggirato da una vecchia arma low-tech dei truffatori cyber: il social engineering. Grazie a telefonate truffa a farmacisti, insomma, una quindicina di persone in tutta Italia riusciva a generare certificati green pass ai no vax, a pagamento. Certificati che risultavano validi a una verifica prima che le autorità si accorgessero dell'inganno e li invalidassero dalla piattaforma centrale green pass.

L'indagine è partita dalla Polizia Postale di Napoli con 40 le perquisizioni in tutta Italia e 67 sequestri. Quindici gli indagati per l’ipotesi di appartenere all’associazione a delinquere finalizzata alla falsificazione di documenti sanitari. Indagati 67 di loro presunti clienti, che hanno comprato i pass falsi creati in questo modo e in vendita sul web o su canali Telegram. I casi nelle provincie di Napoli, Avellino, Benevento, Caserta, Salerno, Bolzano, Como, Grosseto, Messina, Milano, Monza-Brianza, Reggio Calabria, Roma e Trento.

Come avveniva la truffa

I truffatori riuscivano a convincere i farmacisti – che sono tra i soggetti autorizzati a creare green pass agli aventi diritto – a consegnare loro le credenziali per generarli. Classico phishing, truffe digitali insomma, con social engineering: tecniche di “ingegneria sociale” dove il criminale si finge qualcun altro e mente per ottenere informazioni riservate. Avviene molto spesso via mail o qualunque chat; è avvenuto anche al telefono dei malcapitati farmacisti, che erano raggiunti da presunti dirigenti sanitari o regionali che, per vari motivi fasulli, chiedevano la password di accesso. Oppure chi telefonava si fingeva un tecnico dell'assistenza per convincere il farmacista a installare un programma con cui rubare le credenziali o accedere alla piattaforma di generazione green pass tramite pc dell'utente.

Le tecniche

A volte si usavano sistemi VoIP (telefonate via internet) con spoofing dell'id chiamante: insomma i criminali, con semplici metodi software, facevano apparire al farmacista un numero chiamante compatibile con chi dicevano di essere (un numero della Regione ad esempio). Un'altra tecnica usata è l'invio di mail truffa con mittente, falso, del sistema sanitario per convincere il farmacista a cliccare su un link, verso un sito che simulava la normale piattaforma. Il farmacista inseriva qui le proprie credenziali, che i criminali potevano così rubare. Un po' come si fa per rubare le credenziali eBanking o Amazon.

Nei dettagli, “a quanto mi risulta, i criminali hanno usato le credenziali dei farmacisti per attribuire finte vaccinazioni a persone che hanno pagato per il green pass fasullo”, dice Pierluigi Paganini, fondatore di Cybhorus. «Possibile scoprire la truffa se le autorità si accorgono che certe farmacie hanno fatto più vaccinazioni delle fiale disponibili», aggiunge. Una volta generato localmente un green pass (lo possono fare anche medici, centri vaccinali), la piattaforma centrale lo “firma” digitalmente per validarlo. Così risulterà legittimo a un controllo. «Forse è in questo modo che hanno generato il green pass fasullo a nome di Hitler, scoperto tempo fa», spiega Dario Fadda, esperto cyber che segue la vicenda dai suoi esordi avendo anche scoperto diversi pacchetti di green pass all'apparenza validi disponibili su internet. «Phishing, quindi. Ma nei forum cyber avanza il sospetto che forse qualche farmacista o suo collaboratore sia stato pagato dai criminali; nei canali di vendita dei pass fasulli qualche criminale infatti ha rivendicato questo tipo di rapporto con chi li generava, anche se forse l'ha fatto solo per attirare meglio i clienti», aggiunge. Oltre alle credenziali, è necessario avere l'indirizzo web dove generare il pass. «Per avere l'indirizzo della piattaforma usata per la creazione green pass forse i criminali hanno sfruttato la vulnerabilità ‘anti-web' di un server vecchio del ministero della Salute», ipotizza Fadda.

Non è finita qui.

Non è chiaro il collegamento tra questa rete criminale e i circa mille green pass validi trovati online, su web e su eMule, nelle scorse settimane. “Forse sono stati raccolti da varie fonti: foto di pass pubblicati sui social network, accessi abusivi ai sistemi e phishing ai danni di chi i pass può generarli”. Sul punto indaga ancora il Garante Privacy e la Guardia di Finanza. Va detto che i pass trovati online sono subito invalidati sulla piattaforma nazionale e quindi non più usabili per aggirare i controlli.Ma una soluzione alle truffe che permettono di fare green pass a pagamento non è stata ancora trovata.