Wangiri, sms email: così vi fregano col telefonino. A cosa stare attenti

Le truffe online, dati dell'Fbi statunitense, hanno causato un danno di oltre 10 miliardi soltanto in questo anno; con svariati metodi, infatti, i cyber-criminali sono riusciti a colpire numerosissime vittime inviando messaggi al loro telefonino, trasformandolo in una vera e propria trappola. Fra falsi siti di e-commerce, email di phishing e messaggi trappola inviati da banche, Poste o tribunali, sono tante le persone cadute nell'inganno.

Finti prelievi sul nostro conto

Un classico esempio di truffa online è quello del falso prelievo sul nostro conto. Solitamente l'inganno consiste in un messaggio in cui viene posta l'attenzione su un accesso abusivo al conto corrente. Andando nel panico, la vittima segue tutte le direttive presenti nel messaggio-trappola, cliccando sul link che viene fornito, e finisce in trappola. A quel punto vengono sottratti dati sensibili, come il numero del conto, oppure il dispositivo della vittima viene infettato da un virus.

Il problema, in questi casi, è che questi messaggi sono molto simili, come grafica, a quelli originali. Sembrano davvero degli alert inviati da Poste, o da PayPal. Per non cadere nell'inganno è fondamentale ricordarsi che banche, Poste o altro non chiedono mai di fare certe operazioni senza prima aver contattato la persona a voce, invitandola, magari, a presentarsi presso l'istituto.

La carta bloccata

Sulla stessa linea d'onda la truffa del messaggio in cui viene comunicato alla vittima che la propria carta è stata bloccata, magari a seguito di un accesso fraudolento. La soluzione che viene proposta è quella di cliccare su un link ed eseguire determinati passaggi, con tanto di inserimento di dati sensibili, per risolvere il problema. Il conto viene così facilmente svuotato dai malviventi.

Anche in questo caso, per quanto i messaggi possano apparire verosimili, bisogna ricordare che nessun istituto di credito chiederebbe mai a un suo utente di cliccare su un link ed effettuare determinate operazioni. Altra cosa da guardare è la url, nei messaggi-truffa il nome della banca non è mai il dominio del link, ossia il suffisso che permette di identificare il soggetto che ha inviato il messaggio. La soluzione? Non cliccare su nulla, e cancellare tutto.

Offerte per pacchi non ritirati

I criminali non si mascherano solo come false banche per fregare gli utenti ignari. Fra le varie truffe, infatti, c'è anche quella dei pacchi di Amazon non ritirati. Amazon, l'azienda vera, ha chiarito più volte di non avere nulla a che fare con certi messaggi, e ha messo in allarme i suoi clienti, spiegando come funziona la truffa.

In sostanza, alla vittima viene inviato un messaggio, spesso scritto in italiano stentato, in cui si propone di acquistare alla modica cifra di 2-3 euro pacchi non consegnati e rimasti fermi. Basta solo cliccare su un link che indirizza a un sito clone di Amazon, dove le vittime devono inserire i propri dati bancari. A quel punto il conto viene svuotato. Un fenomeno che è stato soprannominato brushing.

Compravendite sospette sul web

Attenzione quando decidiamo di vendere qualcosa su certe piattaforme di scambio, come Subito. Subito ha spiegato molto chiaramente ai suoi utenti che è importante non fornire i propri dati personali nella compravendita. Può capitare, però, che qualcuno si finga interessato al nostro annuncio e, senza neppure provare a trattare sul prezzo, si dica pronto a pagare la cifra richiesta. A questo punto, però, avviene qualcosa che dovrebbe insospettire, perché l'acquirente chiede un contatto telefonico. Se noi accettiamo di fornire il nostro contatto, poco dopo il truffatore ci scriverà, dicendo di recarci al più vicino sportello Postamat in cui inserire la nostra carta e poi un codice da lui inviato. Il codice dovrebbe servire a far accreditare la cifra sul nostro conto, ma in realtà non è altro che un codice di prelivo che permetterà al cyber-criminale di svuotarci il conto.

Sia Subito che Poste hanno messo ripetutamente in allerta i loro utenti, invitandoli sempre a non fornire dati personali, limitare la compravendita nelle pagine web fornite dalle piattaforme e scegliere sempre metodi di pagamento sicuri.

Attenzione alle false investigazioni criminali

Può capitare che i malviventi scelgano di fingersi agenti delle forze dell'ordine per fregare le loro vittime. In questo caso arrivano messaggi inviati da un non precisato Dipartimento di investigazione criminale in cui si parla di un'inchiesta in corso, con tanto di numero di protocollo. Un esempio di email-truffa è stato riportato da Il Corriere. "Alla vostra attenzione. Io sottoscritto prefetto Vittorio Rizzi, vice direttore generale della pubblica sicurezza, direttore centrale della polizia criminale e il servizio per la cooperazione internazionale di polizia (Scip), in collaborazione con la sig. Catherine De Bolle, direttore di Europol e capo della Brigata Protezione Minori (Bpm) visti gli articoli 20 21-1 e da 75 a 78 del codice di procedura penale. Vi inviamo questo mandato poco dopo un sequestro di computer sotto copertura per informarvi che siete oggetto di diversi procedimenti legali in corso. Intraprendiamo azioni legali contro di voi", si legge nel messaggio, che continua con l'elenco di una serie di reati come pedofilia, cyberpornografia e tanto altro. Vengono poi spiegate le pene in caso di colpevolezza e infine si passa alle richieste: "Vi preghiamo di inviare le vostre giustificazioni via e-mail in modo che possano essere esaminate e controllate per le sanzioni entro un periodo rigoroso di 72 ore".

Si tratta di mero phishing. Invece di farsi prendere dal panico per il tono accusatorio della email, è bene tenere a mente che nessun atto giudiziario verrebbe mai notificato in questo modo. Inoltre, anche in questo caso, basta verificare il dominio dell'url. Se poi vogliamo toglierci ogni dubbio, basta contattare le forze dell'ordine, che saranno le prime a rassicurarci, spiegandoci che si è trattato di un inganno arrivatoci via telefonino.

Le chiamate senza risposta (Wangiri)

Un vecchio cavallo di battaglia dei criminali è quello della chiamata senza risposta, o wangiri (termine giapponese). Nata in Giappone, o almeno questo si crede, la truffa consiste nel telefonare a una vittima, aspettando poi che questa, vedendo la chiamata persa, richiami. Il numero, solitamente, è un contatto estero. Chi cade nell'inganno, richiama e viene così trasferito su un numero a pagamento che in pochi secondi riesce ad addebitare fino a due euro. Da tenere presente che questo tipo di truffa avviene in orari in cui è difficile rispondere al telefono, come le ore notturne, e si tratta di un solo squillo, così che sia difficile accettare la chiamata. Secondo l'Interpol, i prefissi internazionali più usati dai malviventi sono quelli di Moldavia (+373), Kosovo (+383) e Tunisia (+216).

Finte offerte di lavoro

Altra truffa che ha preso piede di recente, specie dopo i lockdown, quella relativa a false offerte di lavoro particolarmente remunerative, nota col nome di "Online Recruitment Scam". Tutto inizia con una mail o un messaggio nel testo del quale un presunto rappresentante di una grossa azienda, della quale è semplice trovare informazioni ovunque sul web, propone un impiego allettante con poco impegno e lauto stipendio. Ovvio che a finire nel tranello è soprattutto chi si trova in una condizione di particolare difficoltà ed è da tempo in cerca di lavoro. Dopo aver eseguito delle interviste telefoniche coi candidati adescati, i truffatori tentano di estorcere loro dati sensibili e informazioni bancarie, puntando a ottenere anche l'invio di somme di denaro da parte delle vittime, a cui forniscono motivazioni di vario tipo per giustificare l'operazione.

IT Alert

Facendo leva sulle paure della popolazione per le conseguenze di fenomeni naturali particolarmente devastanti, c'è chi ha sfruttato anche IT Alert: ciò che accade ad esempio in Campania, dove tanti temono un'eruzione vulcanica.

Su queste basi nasce la truffa dell'IT Alert, scoperta dai ricercatori del d3lab, che si basa su un portale ricostruito in maniera fedele rispetto a quello originale. "A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita", recita l'avviso. Se si utilizza un sistema iOS si viene reindirizzati al sito ufficiale di IT Alert, se si utilizza Android, viene scaricata invece una finta app. Questa, una volta installata, carica un malware SpyNote sul cellulare della vittima, che consente ai cybercriminali di leggere i contenuti sullo schermo del telefono e nei messaggi: così facendo è possibile impossessarsi delle credenziali della vittima, come username, password o di token di accesso per i sistemi protetti dall'autenticazione a due fattori.

Telefono rotto

Altra truffa molto frequente quella del telefono irrimediabilmente danneggiato. Chi finisce in trappola sono soprattutto i genitori apprensivi, a cui arriva un messaggio da un numero telefonico sconosciuto in cui il presunto figlio racconta di aver rotto, smarrito o bagnato il proprio smartphone, fornendo il numero a cui poterlo contattare.