Non c'è limite all'inventiva dei cyber-criminali, sempre pronti a escogitare una nuova truffa per circuire la vittima e farla cadere nell'inganno, portandola a cedere ingenuamente i suoi dati sensibili o il suo denaro. Si tratta del mondo sommerso delle truffe online, che ogni anno arreca dei danni incredibile alla popolazione, in termini di denaro. Guardando agli Stati Uniti, abbiamo i numeri sconcertanti prodotti dall'FBI, che stima un danno di oltre 10 milioni di dollari nel 2023 proprio a causa dei raggiri online.

Conoscere i vari metodi con cui i criminali sono soliti agire permette di individuare più facilmente il pericolo. Ecco pertanto alcuni degli stratagemmi messi in atto dagli hacker per entrare nei nostri conti.

Wangiri

Al primo posto troviamo il wangiri, una pratica fra l'altro molto utilizzata. La truffa consiste nel fare uno squillo e poi attendere di essere ricontattati. La frode, in sostanza, si basa sulle chiamate perse, spesso provenienti da numeri sconosciuti o internazionali. Chi cade nella trappola richiama il numero che, essendo spesso e volentieri internazionale e a pagamento, svuota in breve tempo il conto.

Con gli anni i criminali si sono specializzati, e oggi abbiamo anche il wangiri 2.0. In sostanza, quando la vittima richiama, sente dall'altro lato il rumore prodotto da un telefono che squilla, e questo la induce a trattenersi di più in ascolto e a prolungare la telefonata, mentre il conto viene svuotato.

Phishing/smishing

Subito il wangiri abbiamo il phishing, altro strumento prediletto dei criminali. Che sia via Sms o via e-mail, si tratta uno dei metodi più utilizzati dai criminali e, fortunatamente, ormai conosciuto dalla gran maggior parte persone. Gli hacker inviano alla vittima un messaggio truffa che ha lo scopo di "far abboccare" la vittima, da qui il nome. Nel messaggio può essere tirato in ballo qualsiasi cosa: possiamo trovare una comuncazione da parte di un falso istituto di credito, come una convocazione di Poste, o molto altro. E' bene a questo punto ribadire che certi enti o società non agiscono mai in questo modo. Non inviano messaggi dove chiedono di inserire le proprie credenziali, né chiedono di aprire un determinato link.

Nel phishing (o smishing quando si tratta di Sms) funziona proprio così: i criminali chiedono di accedere ai dati, o di cliccare su un certo indizzo, spacciandosi per altri. Spesso le e-mail o gli Sms sono fatti così bene da sembrare realistici e trarre davvero in inganno. Il consiglio è di non condividere mai le credenziali, né cliccare su determinate barre di indirizzi online.

La truffa su WhatsApp

A ruota abbiamo le truffe su WhatsApp, fra cui spicca quella del codice a 6 cifre. In questo caso i criminali cercano di impersonale i nostri cari, come un figlio, o un fratello, o un genitore. Il messaggio, che sembra inviato proprio da uno dei nostri contatti, recita: "Ti ho inviato un codice per sbaglio, potresti rimandarmelo?". Si tratta di un codice a 6 cifre, molto pericoloso. Il criminale, infatti, si è precedentemente impossessato del nostro numero e quel codice numerico non è altro che il codice di autentificazione che arriva dopo che l'hacker ha provato ad accedere al nostro account. Se noi condividiamo il codice, diamo al malvivente la possibilità di autenticarsi e "rubarci" l'account WhatsApp che sarà poi utilizzato per truffare altre persone. Importante, dunque, non condividere mai il codice a 6 cifre.

Le false richieste di aiuto

Restando nell'ambito delle truffe che sembrano coinvolgere i nostri cari, abbiamo tutta quella serie di messaggi inviati da un numero sconosciuto in cui un individuo, che si spaccia per essere nostro parente (spesso e volentieri un figlio), ci chiede aiuto. Il telefono del sedicente familiare è rotto o perso, ecco il perché del numero diverso. Con questo espediente, il criminale passa a chiedere denaro, o dati bancari.

La truffa romantica

Sta prendendo piede in Italia anche la truffa del cosiddetto "gentiluomo argentino". Un personaggio puramente inventato, ma dotato di tutte quelle qualità in grado di far innamorare una donna, riesce ad agganciare la vittima su uno dei tanti social. Si instaura un rapporto di fiducia, arrivando a coinvolgere i sentimenti. Una volta avuta la preda in suo potere, il falso innamorato comincia a chiedere denaro, inventandosi le motivazioni più disparate, per poi sparire nel nulla una volta dilapidato il patrimonio della sua vittima.

Le carte bloccate

Fra i messaggi truffa, anche quello relativo alle carte bloccate. I cyber-criminali tirano in ballo i principali distributori di carte prepagate, come Nexi e tante altre, spacciandosi per operatori delle società, che invece sono completamente estranee alla vicenda. Alla vittima arriva un messaggio, molto credibile, in cui si comunica che la carta è stata bloccata a seguito di un accesso fraudolento. Viene chiesto, dunque, di cliccare sul link inserito nel messaggio per rimediare. Nella pagina che si apre ci sono una serie di indicazioni che ci portano a rivelare dati sensibili. In breve, il danno è fatto. Il conto viene svuotato.

Simili messaggi vanno cancellati subito. Nessun istituto di credito contatta via messaggio i propri clienti, e in quelle modalità.

La falsa indagine

Una truffa che spaventa molto è quella della falsa investigazione criminale. Qui l'inganno è proprio subdolo, perché i malviventi si fingono degli agenti delle forze dell'ordine e si rivolgono alla vittima facendole credere di essere al centro di un'indagine per un reato gravissimo, come quello della pedofilia.

Vengono tirati in ballo la polizia di Stato, o l'Interpol, che sono totalmente esclusi dalla vicenda. Un sedicente Dipartimento di investigazione criminale, contatta la vittima illustrandole il reato per il quale è indagata, per poi chiedere di identificarsi, se non anche di versare una sorta di pagamento/ammenda. Il testo, come ricordato da Il Corriere, contiene spesso una minaccia: " Chiunque compia tali atti è passibile di procedimenti giudiziari e di una pena da 5 a 35 anni di reclusione e di una multa da 78.000 a 535.000 euro. Per motivi di riservatezza, vi inviamo questa e-mail. Vi preghiamo di inviare le vostre giustificazioni via e-mail in modo che possano essere esaminate e controllate per le sanzioni entro un periodo rigoroso di 72 ore".

Malgrado lo choc iniziale dopo aver ricevuto una mail del genere, la raccomandazione è di mantenere il sangue freddo. La polizia di Stato, o l'Interpol, non notificherebbe mai un atto giudiziario in questo modo, specie quando si parla di indagini relative a casi di pedopornografia. Inoltre non esiste alcun Dipartimento di investigazione criminale. Anche il dominio usato è diverso da quello reale.

Le false multe

Sulla stessa linea anche le false multe. Un tipo di truffa che in Italia, specie a Milano, sta andando parecchio. La vittima si ritrova sull'auto delle false contravvenzioni con un Qr code che, se inquadrato, porta a un falso sito della polizia dove si mettono in atto tutti quei meccanismi finalizzati al prelievo del denaro.

Il prelievo su Paypal

A volte, invece, i criminali si spacciano per Paypal, famosa piattaforma per i pagamenti, e ci avvisano di un accesso fraudolento al nostro conto. Dopo aver messo in allarme la vittima, i malviventi invitano a cliccare su un link per accedere a un'altra pagina, dove vengono poi prelevati i dati necessari per arrivare al conto. Ancora una volta, vale lo stesso avviso: banche, Poste o Paypal non chiedono di compiere delle operazioni sui nostri conti via messaggio o e-mail.

Le false offerte di lavoro

In un momento difficile come questo, dove molte persone hanno difficoltà nel trovare un impiego, i criminali hanno trovato un altro modo per colpire. Si chiama truffa "Online Recruitment Scam" e consiste nell'inviare un messaggio alla vittima, illudendola di essere stata contattata da un famoso manager, per proporle un'offerta di lavoro, con tanto di lauto compeso.

Il sogno di tanti, che però rischia di trasformarsi in un'incubo. Al malcapitato viene infatti chiesto di versare alcune cifre di denaro, o di comunicare i dati bancari. L'obiettivo è sempre lo stesso: svuotare il conto corrente.

Le false occasioni

Sempre restando sul tema "false proproste interessanti", abbiamo i messaggio o le mail contententi delle false offerte online. Piattaforme come Subito.it o Ebay mettono in guardia da certe pratiche sempre più diffuse. Può capitare che, dopo aver esaminato un oggetto, si venga subito contattati dal venditore che, stranamente, è disposto a venderci il bene alla cifra che abbiamo chiesto, o comunque a un prezzo molto vantaggiaso. Se cadiamo nell'inganno, il passo successivo del criminale è quello di chiederci il numero telefonico per stabilire con noi un contatto non protetto dal circuito della piattaforma di scambio. La vittima viene dunque invitata a recarsi presso uno sportello Postamat in cui dovrà inserire la carta di credito e digitare un codice, che poi si rivelerà essere un codice di prelievo. Basta poco, e il conto viene svuotato.

Piattaforme come Subito.it, così come le altre, sconsigliano di condividere i dati personali, come il numero dei presenti.

La truffa delle vacanze

Un'altra pericolosa offerta, che poi si rivela essere un raggiro, è quella delle prenotazioni vantaggiose per viaggi e soggiorni. Alle vittime vengono recapitati messaggi in cui si parla dell'annullamento di una prenotazione, magari su siti come Booking.com (estraneo alla vicenda), e viene proposto di approfittare dell'offerta. Basta cliccare sul link indicato e provvedere al pagamento.

La vittima finisce su un sito molto simile a Booking.com ed effettua il pagamento, finendo nella trappola.

I pacchi Amazon

Un'altra offerta sospetta è quella dei 2 euro in cambio dei pacchi Amazon non ritirati. Il raggiro è semplice: alla vittima viene fatto credere che si tratta di una sorta di offerta-outlet, una specie di redistribuzione dei pacchi Amazon non ritirati. La truffa si chiama Brushing. Dopo aver chiesto i dati del conto, i criminali propongono uno scambio che pare del tutto vantaggioso e innocuo: 2 euro al posto di un pacco online non consegnato. Seguendo la procedura indicata, la vittima si ritrova col conto corrente svuotato.

Amazon è ben consapevole del problema, tanto da dedicare un'intera pagina d'avviso sull'argomento. E' possibile trovarla nella sezione assistenza al cliente.

Il falso IT Alert

Chiudiamo la serie con la truffa dell'IT Alert. L'IT Alert, quello vero, è il sistema nazionale di allarme pubblico che si aziona in una determinata zona in caso di gravi emergenze o catastrofi imminenti, facendo suonare i dispositivi elettronici delle persone. I criminali sono riusciti a sfruttare anche questo, approfittandosi della paura della gente. Non è un caso che questo tipo di raggiro colpisca prevalentemente in Campania, dove le scosse di terremoto preoccupano molto la popolazione, specie in zona Campi Flegrei.

Ci sarebbe un sito, molto simile a quello originale di IT Alert, che, se visitato con uno smartphone Android, porta a scaricare una finta applicazione IT-Alert che altro non è che un malware.

Una volta installato, il virus provvede a "rubare" tutti i dati presenti sullo schermo del cellulare, arrivando anche a insinuarsi nei messaggi. Lo scopo è ottenere non solo credenziali d'accesso, ma anche password, token di accesso e username. I malviventi, ovviamente, mirano ai dati d'accesso ad account di banche o altri istituti.