Le truffe telefoniche e online fanno sempre più vittime. Per inquadrare il fenomeno basta guardare i numeri. Secondo un dato diffuso dall’Fbi (il Federal bureau of investigation statunitense), e ripreso dal Corriere della Sera, nel 2023 le truffe online hanno causato una perdita di oltre 10 miliardi di dollari (9,19 milioni di euro). In particolare, negli Stati Uniti sarebbero soprattutto le persone di età superiore ai 60 anni a cadere vittime delle truffe online, nonostante i cybercriminali prendano di mira utenti di tutte le età (e non soltanto negli Stati uniti). Ma vediamo quali sono quelle più diffuse.
Il wangiri classico e il wangiri 2.0
Dal giapponese, paese nel quale si ritiene sia nata, significa “squillo e giù”. In Italia è nota come la truffa della chiamata senza risposta. Con questo stratagemma, i cybercriminali sfruttano l’ingenuità delle persone per addebitare chiamate a servizi telefonici costosi o attivare abbonamenti a servizi premium con canoni elevati. Il wangiri classico consiste in una chiamata senza risposta da un numero estero. Se la vittima richiama, viene automaticamente indirizzata verso un numero a pagamento in grado di addebitare uno o due euro in pochi secondi. Una truffa che si è evoluta al wangiri 2.0: i truffatori hanno trovato lo stratagemma giusto per tenere la chiamata aperta il più a lungo possibile per fare lievitare la somma di denaro.
Il codice a sei cifre su WhatsApp
“Ti ho inviato un codice per sbaglio, potresti rimandarmelo?”, seguito da un codice a sei cifre. Tra l’altro, il mittente del messaggio è apparentemente uno dei contatti che si hanno in rubrica, trucco semplice per non destare sospetti. Sembra scontato, ma specifichiamo che per inviare questo messaggio il cyber criminale deve essere in possesso del numero di telefono preso di mira. Successivamente prova ad autenticarsi su WhatsApp con il numero della vittima designata che a questo punto riceve il codice a sei cifre. La notifica di WhatsApp è piuttosto chiara: prima del codice avvisa di “non condividerlo con nessuno”. Se invece viene condiviso con il truffatore gli si consente di prendere possesso del proprio account WhatsApp, dal quale si viene estromessi seduta stante, con l’eventuale accesso a chat, foto e video che sono stati ricevuti e condivisi con i propri contatti.
Il phishing e lo smishing
In questo caso i truffatori inviano un messaggio di testo che replica in modo più o meno credibile le richieste di un’organizzazione. Può essere ad esempio un corriere, un istituto bancario oppure un e-commerce. Lo scopo può essere duplice: estorcere denaro o credenziali sensibili, ma il fine ultimo è il medesimo, ovvero attingere al patrimonio della vittima. Attenzione perché nessun ente o servizio chiederà dati sensibili per sms, telefonate o email.
Il finto prelievo su Paypal
Viene inviato un messaggio che allarma e invita al clic e poi il link. Quello che rende più insidiosi questi messaggi è che il mittente (una banca, PayPal, ecc.) esce con il nome corretto. Da ricordare che mai una banca chiede di compiere un’operazione senza contatto a voce (al massimo chiede di essere richiamata) e se pixela i numeri di una carta di credito o di un conto, lascia sempre visibili alcuni numeri che permettano di riconoscere la nostra carta o il nostro conto.
Le false multe
Questa è una truffa decennale. Si sta diffondendo anche a Milano, dove dei falsi avvisi di truffa contengono un Qr code che, inquadrato, rimanda a un sito “svuotaconto”.
“Papà, si è bagnato il telefono”
Da un numero sconosciuto a papà e mamma arriva un messaggio in cui il figlio dice di aver rotto, perso, bagnato il telefono e fornisce un nuovo numero cui contattarlo. Naturalmente, chattando con questo numero che ritiene quello del figlio, il genitore riceve la richiesta di dati personali, bancari e simili. Con i quali vieni, ovviamente, vuotato il conto corrente.
Le carte bloccate
In questo caso viene recapitato allarmante. Ci dice o che la carta è stata bloccata o che c’è stato un accesso fraudolento e che bisogna seguire il link inserito nel messaggio per arginare il problema. Lo seguiamo, compiliamo i dati che ci sono richiesti, e il conto è violato.
Il lavoro facile e ben pagato
Arriva un messaggio, o una mail, nel quale il finto rappresentante di una grossa organizzazione offre un lavoro. In alternativa viene proposto un impiego molto leggero a stipendio molto alto. È facile che chi lo riceva, specie se affamato di lavoro ci casca. Ovviamente il messaggio è dotato di un messaggio telefonico con cui, chattando, si viene spinti a fornire informazioni personali e bancarie, o il pagamento di somme di denaro adducendo diverse motivazioni.
L’affare online
Ingolositi da un affare, non facciamo caso a questa truffa. Ma ci viene chiesto il numero di telefono per essere contattati, noi ignoriamo l’allarme del sito in questione (ad esempio, Subito) che ci sconsiglia di fornire dati personali a sconosciuti, e diamo il numero. A questo punto l’acquirente ci contatta e ci dice di recarci a uno sportello Postamat dove, inserendo la carta di credito e un codice che ci fornirà l’acquirente richiamandolo di fronte allo sportello, ci verrà accreditata la cifra. In realtà il codice non è altro che un codice di prelievo e la cifra dalla nostra carta viene tolta, invece che aggiunta.
“Due euro per pacchi Amazon non ritirati”
Il mittente è apparentemente di Amazon, ma con l’azienda americana non hanno nulla a che fare. I post, spesso scritti in un italiano stentato (un punto essenziale che ci deve mettere in allerta), mostrano fantomatici bancali di pacchi mai consegnati che si potrebbero riscattare con una cifra irrisoria. La vittima non deve fare altro che seguire il link a un sito clone di Amazon per chiedergli di pagare l’intero bancale 2-3 euro inserendo i dati bancari. Così la vittima cade nella rete e il suo conto viene violato.
Il finto IT Alert
In Campania c’è chi sfrutta il timore legato a una eruzione vulcanica improvvisa per diffondere un malware molto pericolosi per gli smartphone Android. Lo specchietto delle allodole è il servizio IT Alert, il servizio di allerta nazionale che ha appena concluso la sua fase sperimentale. I ricercatori del d3lab hanno individuato una campagna collegata a un sito che ricalca, nella grafica e nei contenuti, quello ufficiale di IT Alert. Sul sito si può leggere: “A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita”. Chi visita questo sito con iOS o con Safari viene reindirizzato automaticamente al sito ufficiale di IT-Alert, chi lo visita invece con uno smartphone Android viene portato allo scaricamento di una finta applicazione IT-Alert che, se installata, carica all’interno del telefono della vittima un malware della famiglia SpyNote, decisamente pericoloso.