html Phishing Bancario e Furto Credenziali — Beispiel-Bericht SpurKI NAV HEADER

← Tutti gli esempi Esempio completo — Report investigativo + Strafanzeige

Phishing Bancario e Furto Credenziali

Caso fittizio a scopo dimostrativo. SMS truffa (smishing) che imita la banca della Opfer, furto credenziali home banking, bonifici fraudolenti verso conti esteri. L'indagine ricostruisce l'infrastruttura phishing, i flussi bancari e identifica la rete criminale.

Report Investigativo

8 Seiten • Analisi infrastruttura phishing + Flussi bancari + OSINT

Strafanzeige

10 Seiten • Bereit zur Einreichung bei der Staatsanwaltschaft

Dokument 1 — Report Investigativo

🔎

Report Investigativo — Phishing Bancario

SpurKI_Report_Investigativo.pdf • 8 Seiten • Classificazione TLP:RED

Rischio 92/100

TRC-2026-8104 Metodo: Bonifici SEPA fraudolenti Betrag: €24.800 Vettore: SMS + Vishing 3 Money mule identificati

Smishing + Vishing — Furto credenziali Intesa Sanpaolo e bonifici istantanei

Attacco combinato SMS phishing + telefonata da falso operatore antifrode. La Opfer fornisce OTP e i Betrüger eseguono 3 bonifici istantanei verso conti di money mule in Italia e Romania.

⚙ Metodologia di indagine applicata

1. Analisi SMS: Verifica sender ID spoofing, gateway SMS, numero mittente • 2. Analisi sito phishing: WHOIS, hosting, certificato SSL, kit phishing utilizzato • 3. Tracciamento bancario: Ricostruzione flusso bonifici istantanei SEPA Instant • 4. Identificazione money mule: Cross-referencing IBAN con database segnalazioni • 5. Analisi telefonica: CLI spoofing, VoIP provider, geolocalizzazione

Cronologia dettagliata degli eventi

5 Aprile 2026 — ore 14:32

La Opfer riceve un SMS apparentemente da “IntesaSP” (sender ID spoofato, appare nella stessa conversazione dei messaggi reali della banca): “ATTENZIONE: accesso anomalo al suo conto da dispositivo non riconosciuto (Bucarest, RO). Se non sei tu, verifica subito: https://intesa-verifica.com/sicurezza”

5 Aprile 2026 — ore 14:35

La Opfer clicca il link. Il sito è un clone perfetto dell'home banking Intesa Sanpaolo (stesso layout, logo, colori, certificato SSL valido con lucchetto verde). La Opfer inserisce: codice utente, PIN, numero di telefono.

5 Aprile 2026 — ore 14:38

Telefonata vishing: La Opfer riceve una chiamata dal numero +39 02 8796XXXX (CLI spoofato — appare come numero reale di Intesa Sanpaolo). L'interlocutore si presenta come “Dott. Ferretti, Ufficio Sicurezza Intesa Sanpaolo” e comunica che “un tentativo di Überweisung fraudolento è in corso”.

5 Aprile 2026 — ore 14:42

Il falso operatore chiede alla Opfer di “confermare la propria identità” leggendo i codici OTP che arrivano via SMS. La Opfer, in stato di panico, legge 3 codici OTP in sequenza. In realtà sta autorizzando 3 bonifici istantanei.

5 Aprile 2026 — ore 14:43-14:47

3 bonifici istantanei SEPA Instant eseguiti:
• 9.800 EUR → IBAN IT28 S030 6909 XXXX (BancoPosta, intestato a persona fisica)
• 8.500 EUR → IBAN IT71 K076 0101 XXXX (Poste Italiane, persona fisica diversa)
• 6.500 EUR → IBAN RO49 RZBR XXXX XXXX XXXX (Raiffeisen Romania)
Gesamt: 24.800 EUR

5 Aprile 2026 — ore 14:50

Il falso operatore rassicura: “Abbiamo bloccato tutto, i suoi fondi sono al sicuro. Riceverà conferma via email entro 24h.” La chiamata termina.

5 Aprile 2026 — ore 15:30

La Opfer accede al vero home banking e scopre il saldo ridotto di 24.800 EUR. Chiama il vero servizio Kunden Intesa Sanpaolo che conferma i 3 bonifici istantanei (irrevocabili).

5 Aprile 2026 — ore 16:00

Das Opfer startet die Meldung auf SpurKI und liefert: screenshot SMS, URL sito phishing, estratto conto con i 3 bonifici, numero chiamante, orari precisi.

5 Aprile 2026 — ore 16:01

SpurKI completa l'analisi in 62 secondi. Risultato: infrastruttura phishing identificata (kit “UniPhish v3”), 3 money mule identificati, collegamento con 84 vittime dello stesso gruppo criminale, VoIP provider individuato.

Prove digitali acquisite e certificate

📱

SMS Phishing

Sender ID spoofato
URL malevolo

🌐

Sito Clone

intesa-verifica.com
Screenshot + codice sorgente

📞

Chiamata Vishing

CLI spoofato +39 02 8796XXXX
Durata: 12 min

🏦

3 Bonifici Istantanei

SEPA Instant
24.800 EUR totali

🔑

3 OTP Intercettati

SMS autorizzazione
Timestamp precisi

Analisi Flusso Finanziario: Percorso del denaro

Ricostruzione del circuito — dal conto della Opfer ai money mule e al cash-out finale

▋ FASE 1: BONIFICI FRAUDOLENTI DAL CONTO OPFER

[01] Opfer (Intesa Sanpaolo IT60 X030 6909 XXXX) → IT28 S030 6909 XXXX (BancoPosta - Money Mule #1) : 9.800 EUR // 05/04 14:43 SEPA Instant

[02] Opfer → IT71 K076 0101 XXXX (Poste Italiane - Money Mule #2) : 8.500 EUR // 05/04 14:45 SEPA Instant

[03] Opfer → RO49 RZBR XXXX XXXX (Raiffeisen Romania - Money Mule #3) : 6.500 EUR // 05/04 14:47 SEPA Instant

▋ FASE 2: CASH-OUT MONEY MULE #1 (9.800 EUR)

[04] IT28 S030 6909 XXXX → Abhebung ATM Napoli (3x 1.000 EUR) : 3.000 EUR // 05/04 15:10-15:25

[05] IT28 S030 6909 XXXX → Ricarica PostePay Evolution ****8821 : 5.000 EUR // 05/04 15:30

[06] IT28 S030 6909 XXXX → Western Union (Überweisung contanti → Nigeria) : 1.800 EUR // 05/04 16:00

▋ FASE 3: CASH-OUT MONEY MULE #2 (8.500 EUR)

[07] IT71 K076 0101 XXXX → Abhebung ATM Roma (3x 1.000 EUR) : 3.000 EUR // 05/04 15:15-15:30

[08] IT71 K076 0101 XXXX → Überweisung → RO49 RZBR XXXX (stesso IBAN Romania) : 5.500 EUR // 05/04 15:45

▋ FASE 4: MONEY MULE #3 ROMANIA (12.000 EUR totali)

[09] RO49 RZBR XXXX XXXX (6.500 + 5.500 EUR) → Abhebung ATM Bucarest (multipli) : 8.000 EUR

[10] RO49 RZBR XXXX XXXX → Trasferimento MoneyGram → Lagos, Nigeria : 4.000 EUR

✓ 100% dei fondi tracciati fino alla destinazione finale
✓ 3 money mule identificati (2 italiani, 1 rumeno) — tutti con precedenti per riciclaggio
✓ Destinazione finale: Nigeria (Western Union + MoneyGram)
✓ Stesso kit phishing “UniPhish v3” usato in 84 attacchi negli ultimi 60 giorni
✓ Pattern: Smishing + Vishing + SEPA Instant + Money mule + Cash-out Africa

Money Mule

2 IT + 1 RO

Fondi Tracciati

100%

24.800 EUR localizzati

Vittime Gruppo

Stesso kit phishing

Risk Score

92/100

Critico

Velocità Cash-out

<2h

Dal Überweisung al Abhebung

Intelligence OSINT — Entità Identificate (8)

Entità	Tipo	Dettaglio investigativo	Rischio
`intesa-verifica.com`	Dominio phishing	Registriert 03/04/2026 (2 giorni prima). Registrar: Njalla (privacy-first). Hosting: Bulletproof hosting Moldavia (IP 91.215.XX.XX). Kit: “UniPhish v3” con pannello admin in russo. 84 vittime registrate nel pannello.	KRITISCH
`SMS Gateway`	Infrastruttura smishing	Sender ID “IntesaSP” spoofato tramite gateway SMS bulk (provider: SMSGlobal, Australia). Stesso gateway usato per 2.400 SMS in 48h verso numeri italiani.	KRITISCH
`+39 02 8796XXXX`	Numero VoIP spoofato	CLI spoofing tramite VoIP provider (Telnyx, USA). Il numero reale di Intesa Sanpaolo è stato clonato. L'operatore reale era su IP nigeriano (MTN Nigeria).	KRITISCH
`Money Mule #1`	Persona fisica (IT)	Giuseppe R., Napoli. BancoPosta. 3 prelievi ATM + ricarica PostePay + Western Union. Precedenti per § 261 StGB (Geldwäsche) (2024).	KRITISCH
`Money Mule #2`	Persona fisica (IT)	Fatima B., Roma. Poste Italiane. 3 prelievi ATM + Überweisung verso Romania. Segnalata UIF 2 volte (2025).	KRITISCH
`Money Mule #3`	Persona fisica (RO)	Andrei M., Bucarest. Raiffeisen Romania. Riceve da 2 mule italiani. Prelievi ATM multipli + MoneyGram verso Nigeria.	HOCH
`PostePay ****8821`	Carta prepagata	Intestata a Money Mule #1. Usata per acquisti online (gift card Amazon, ricariche telefoniche internazionali). Saldo residuo stimato: 3.200 EUR.	SEQUESTRABILE
`Kit UniPhish v3`	Software criminale	Kit phishing venduto su forum underground (prezzo: 500 USD). Include: template 12 banche italiane, pannello admin, SMS gateway integration, anti-detection. Autore: “PhishKing_NG” (Nigeria).	HOCH

Contatti per Recupero Fondi e CoTransaktion

Intesa Sanpaolo — Ufficio Frodi:
• Recall SEPA Instant (entro 10 giorni)
• Blocco credenziali compromesse

Poste Italiane — Antifrode: antifrode@posteitaliane.it
• Congelamento conti Money Mule #1 e #2
• Blocco PostePay ****8821 (saldo ~3.200 EUR)

Raiffeisen Romania: fraud@raiffeisen.ro
• Congelamento conto RO49 RZBR
• Coopera con OEI (Ordine Europeo Indagine)

Western Union / MoneyGram:
• Recall Überweisungen (entro 24h dalla Meldung)
• Dati beneficiario in Nigeria

Piano d'Azione Urgente

⚠ IMMEDIATO (entro 1h):
1. Blocco home banking e cambio credenziali
2. Richiesta recall SEPA Instant a Intesa
3. Strafanzeige Landeskriminalamt (allegare report)

ENTRO 24H:
4. Congelamento conti money mule (Poste + Raiffeisen)
5. Blocco PostePay Evolution ****8821
6. Recall Western Union e MoneyGram

ENTRO 48H:
7. Segnalazione UIF per 3 money mule
8. Richiesta a Telnyx (VoIP) dati account
9. Richiesta a SMSGlobal dati committente SMS

ENTRO 7 GIORNI:
10. OEI verso Romania per Money Mule #3
11. Collegamento con 84 vittime stesso gruppo
12. Segnalazione CERT-AgID per dominio phishing

PROBABILITÀ RECUPERO: MEDIA (45%)
I bonifici SEPA Instant sono tecnicamente irrevocabili, ma il congelamento rapido dei conti mule può bloccare i fondi non ancora prelevati. Le forze dell'ordine hanno strumenti efficaci per perseguire i money mule italiani.

📈 Analisi infrastruttura phishing (inclusa nel PDF)

Il report PDF include l'analisi completa dell'infrastruttura criminale: screenshot del pannello admin del kit phishing (con lista vittime anonimizzata), analisi del codice sorgente del sito clone, header email/SMS con catena di routing, geolocalizzazione IP del server C2, timeline degli attacchi precedenti dello stesso gruppo.

Generato il: 5 Apr 2026 16:01 UTC Affidabilità Analisi: 96% Klassifizierung: TLP:RED Analyst: SpurKI Engine v3.2

Dokument 2 — Strafanzeige

⚖

Strafanzeige

SpurKI_Strafanzeige_Strafanzeige.pdf • 10 Seiten • Bereit zur Einreichung bei der Staatsanwaltschaft

Intestazione

ALL'ILL.MO SIGNOR PROCURATORE DELLA REPUBBLICA
beim zuständigen Gericht Torino

ATTO DI STRAFANZEIGE
con richiesta di sequestro preventivo d'urgenza e recall SEPA

Sezione A — Generalità delder/die Anzeigeerstatter/in

Der/Die Unterzeichnende Andrea Ferraris, nato/a a Torino il 22/11/1975, residente in Corso Francia 128, 10138 Torino (TO), C.F. FRRNDR75S22L219M,

LEGT DAR E QUERELA

quanto segue, chiedendo la punizione dei responsabili per i reati di cui infra e formulando le istanze cautelari e investigative in calce specificate.

Sezione B — Esposizione dei fatti

B.1 — Ricezione SMS fraudolento

In data 5 aprile 2026, alle ore 14:32, der/die Anzeigeerstatter/in riceveva un SMS apparentemente proveniente da “IntesaSP” (il sender ID della propria banca, Intesa Sanpaolo) che segnalava un accesso anomalo al conto e invitava a verificare tramite il link https://intesa-verifica.com/sicurezza.

B.2 — Inserimento credenziali su sito clone

Der/Die Anzeigeerstatter/in, in buona fede, accedeva al sito indicato — che si presentava come perfetta replica dell'home banking Intesa Sanpaolo — e inseriva le proprie credenziali (codice utente e PIN).

B.3 — Telefonata da falso operatore antifrode

Alle ore 14:38, der/die Anzeigeerstatter/in riceveva una telefonata dal numero +39 02 8796XXXX (apparentemente il numero del servizio Kunden Intesa Sanpaolo). L'interlocutore, qualificatosi come “Dott. Ferretti dell'Ufficio Sicurezza”, comunicava che un tentativo di Überweisung fraudolento era in corso e chiedeva di “confermare die Identitätà” leggendo i codici OTP ricevuti via SMS.

B.4 — Bonifici fraudolenti

Der/Die Anzeigeerstatter/in, in stato di agitazione, comunicava 3 codici OTP che in realtà autorizzavano 3 bonifici istantanei SEPA Instant per un Gesamt di EUR 24.800,00 verso conti intestati a terzi sconosciuti.

Sezione C — Risultanze dell'indagine tecnica

L'analisi investigativa (Report TRC-2026-8104) ha evidenziato:

Il sito intesa-verifica.com era ospitato su server bulletproof in Moldavia ed era attivo da soli 2 giorni;
Il kit phishing utilizzato (“UniPhish v3”) risulta collegato a 84 attacchi negli ultimi 60 giorni;
I 3 beneficiari dei bonifici sono money mule con precedenti per riciclaggio;
I fondi sono stati prelevati in contanti (ATM) e trasferiti in Nigeria (Western Union/MoneyGram) entro 2 ore;
Il numero telefonico era spoofato tramite VoIP provider (Telnyx, USA), l'operatore reale si trovava in Nigeria.

Sezione D — Rechtliche Einordnung

I fatti sopra esposti integrano le seguenti fattispecie di reato:

Art. 640-ter c.p. — Frode informatica (accesso abusivo e Transaktionen non autorizzate);
Art. 615-ter c.p. — Accesso abusivo a sistema informatico;
Art. 617-quater c.p. — Intercettazione fraudolenta di comunicazioni (OTP);
Art. 648-bis c.p. — Riciclaggio (money mule e Überweisungen esteri);
Art. 416 c.p. — Associazione per delinquere (organizzazione strutturata con ruoli definiti);
Art. 167 D.Lgs. 196/2003 — Trattamento illecito di dati personali;
Art. 55 c. 9 GwG (Geldwäschegesetz) — Violazione normativa antiriciclaggio (money mule).

Sezione E — Istanze

Tutto ciò premesso e considerato, der/die Anzeigeerstatter/in

BEANTRAGT

Il sequestro preventivo d'urgenza dei conti correnti dei 3 money mule identificati e della PostePay Evolution ****8821;
La richiesta a Poste Italiane di tutti i dati dei titolari dei conti beneficiari e delle Transaktionen successive;
L'Ordine Europeo di Indagine verso la Romania per il conto Raiffeisen;
La richiesta a Western Union e MoneyGram dei dati dei beneficiari in Nigeria;
La richiesta a Telnyx (VoIP provider) dei dati dell'account utilizzato per il CLI spoofing;
La richiesta a SMSGlobal dei dati del committente della campagna SMS;
Il collegamento con le altre 84 vittime dello stesso gruppo criminale;
La Meldung al CERT-AgID per il takedown del dominio phishing.

Sezione F — Documenti Anlagen

Doc. 1: Report Investigativo SpurKI (TRC-2026-8104)
Doc. 2: Screenshot SMS phishing con metadata
Doc. 3: Screenshot sito clone intesa-verifica.com
Doc. 4: Estratto conto con 3 bonifici istantanei
Doc. 5: Log chiamata telefonica (numero + durata + orario)
Doc. 6: SMS OTP ricevuti con timestamp
Doc. 7: Comunicazione Intesa Sanpaolo (conferma frode)
Doc. 8: Analisi WHOIS dominio phishing
Doc. 9: Documento di identità delder/die Anzeigeerstatter/in

Dichiarazione finale e firma

Der/Die Anzeigeerstatter/in dichiara di essere consapevole delle responsabilità penali derivanti da dichiarazioni mendaci ai sensi dell'art. 495 c.p. e conferma la veridicità di quanto sopra esposto.

Der/Die Anzeigeerstatter/in dichiara ebenfalls di voler essere informato/a in caso di richiesta di archiviazione ai sensi dell'art. 408 c.p.p.

Torino, lì 5 aprile 2026

In fede,

Andrea Ferraris
(firma)

Automatisch erstellt von SpurKI AI • Rechtsmodell v2.4 Pronto per il Einzahlung in Procura

Was Sie erhalten mit SpurKI

Das vollständige Paket, das wir liefern

📄 Report Investigativo (PDF, 8 Seiten)

Analisi completa infrastruttura phishing (dominio, hosting, kit)
Tracciamento flusso bancario fino al cash-out finale
Identificazione 3 money mule con precedenti
Analisi VoIP e SMS gateway (CLI spoofing)
Collegamento con 84 vittime dello stesso gruppo
Contatti antifrode per congelamento conti

⚖ Strafanzeige (PDF, 10 Seiten)

Intestazione formale all'AG competente
Ricostruzione cronologica dettagliata
Risultanze dell'indagine tecnica
Rechtliche Einordnung (7 reati contestati)
Istanze di sequestro e coTransaktion internazionale
Elenco 9 documenti Anlagen con prove certificate

Tempo di generazione: ~62 secondi dall'invio della Meldung • Formato: PDF pronti per la stampa e il Einzahlung • Pronto per il Einzahlung: I documenti sono completi e pronti da consegnare alle autorità • Aggiornamenti: Se emergono nuovi elementi, il report può essere rigenerato gratuitamente

CTA

Hai subito una truffa simile?

Meldung starten gratuita: In wenigen Minuten erhalten Sie il report investigativo e la Strafanzeige bereit zur Einreichung bei den Behördenà.

Meldung starten →

Nessun impegno. Paghi solo se decidi di scaricare i documenti.

FOOTER