Un mittente rassicurante, come l’Agenzia delle Entrate o un amico fidato che ci scrive via WhatsApp. Ad accompagnare il messaggio ecco una piccola ma abilissima iniezione di paura. Il gioco è fatto, nell’intenzione degli imbroglioni della rete. Vero è che abbiamo imparato, pian piano, a non cascarci. Ma con il perverso affinamento dell’ingegneria sociale, ovvero la manipolazione psicologica via web per carpire informazioni sensibili e orientare i comportamenti, la lotta ai criminali informatici che tentano di intrufolarsi nella nostra fiducia, e soprattutto nei nostri soldi, si fa ancora più difficile.
Ci cascano in molti, perfino qualche sedicente esperto del vivere nella rete. Il nuovo trucco? Mescolare abilmente segnali di affidabilità e sapienti pillole di urgenza, con annessa ansia. Per non parlare del vecchio richiamo che funziona ancora: quello delle imperdibili offerte per far soldi, a patto naturalmente di dare riscontro subito e con precisione.
Protagonista indiscusso rimane Il furto d’identità. Il cittadino si fa più guardingo? L’imbroglione della rete alza la posta e perfeziona le sue tecniche. Le novità, davvero insidiose, non mancano. Ecco una selezione, con tanto di altolà che stanno arrivando direttamente dalle istituzioni criminalmente tirate in ballo per rendere più subdole e potenti le truffe. Che seguono come sempre schemi variabili ma hanno per nostra fortuna impalcature molto simili. Consentendoci, bontà loro, di alzare le antenne per capire che qualcosa non funziona.
Lo Spid clonato diventa ancora più subdolo
Lo Spid, il metodo di certificazione che sposa la nostra identità univoca ai servizi della pubblica amministrazione, rimane nel mirino anche a causa delle clamorose falle di sicurezza che mettono seriamente in discussione il suo scopo primario.
L’altolà viene ripetuto con preoccupante frequenza dalla Polizia postale, direttamente dall’Agenzia per l’Italia digitale, ma l’ultima campagna criminale dei pirati informatici sta assumendo in queste settimane contorni ancora più sofisticati e subdoli.
I criminali del Web diffondono in maniera del tutto casuale e massivo un phishing via mail, invitando il cittadino ad effettuare un accesso urgente, attraverso un link ben specificato ma naturalmente falso, a quella che appare l’area riservata dell’Agenzia delle entrate. La pagina del login con Spid è molto simile a quella ufficiale, ma con una differenza: non ci vengono chieste le sole credenziali ma anche una “verifica di controllo” con l’invito a inserire di nuovo i nostri dati personali sensibili, dal codice fiscale all’indirizzo di residenza, oltre ad una nostra immagine formato fototessera.
Inseriamo le credenziali della nostra identità digitale e i dati richiesti. Ed ecco l’imbroglio “semplice” o quello “concatenato”. Nel primo caso, comunque dagli esiti per noi disastrosi, rimaniamo vittime di un furto totale di identità che serve ai cyber criminali per assumere nostre sembianze per compiere una serie potenzialmente infinito di operazioni fraudolente. A partire da una pratica che sta diventando un classico e che fa perno proprio sulla debolezza intrinseca del sistema Spid.
Con i dati sottratti per assumere nostre sembianze digitali si attiva semplicemente un nuovo Spid parallelo che non disattiva quello genuino ma lo duplica. Già, perché nonostante ancora oggi sembra non se ne rendano conto neppure gli artefici istituzionali dello Spid, è del tutto possibile attivare più di uno Spid intestato alla stessa persona con funzionalità assolutamente equivalenti. Possiamo immaginare quali disastri ne possono conseguire. E quanto sia opportuna la sostituzione generalizzata dello Spid – come peraltro aveva preannunciato anche il Governo in carica – con la ben più sicura Carta di identità elettronica, che ha identiche funzioni con protezioni molto più efficaci.
Ma i criminali in questo caso non si accontentano, e in molti casi ci danno un primo immediato assaggio del disastro che verrà. Come? Ecco la modalità “concatenata”: il nostro primo accesso, che serve per rubare la nostra identità, viene accompagnato dalla comunicazione di una sanzione non così pesante da farci alzare troppo le antenne, da pagare con un bonifico su coordinate bancarie che a ben guardare si rivelano associate ad un conto estero che sfugge al nuovo obbligo di accoppiare rigorosamente l’IBAN ad un preciso nominativo per poter completare regolarmente la transazione.
Non cadiamoci. Al primo anche vago segnale di una possibile frode contattiamo direttamente l’istituzione che fa da maschera i criminali attraverso i numeri verdi o facendo un rigoroso login sulle loro pagine Web ufficiali.
La piccola ballerina che ti mette in trappola
Il messaggio viene da un contatto conosciuto, un amico o un’amica di cui ci fidiamo. Peccato che l’account “amico” sia stato già compromesso, magari grazie allo stesso imbroglio in cui finto amico sta tentando di farci cadere. A scriverci non è lui o lei, ma l’imbroglione. Il testo è accompagnato dalla foto di una bambina che partecipa ad un fantomatico concorso di danza. Come non rispondere all’invito di votare quella tenera immagine collegandoci al link che ci viene proposto? Ecco il tranello, la truffa.
Cliccando sul link e si apre una pagina che compare solo dopo una altrettanto fantomatica procedura antitruffa: si deve inserire il numero del telefono cellulare che dobbiamo indicare, sul quale ricevere un codice di validazione via sms. In realtà si attiva uno dei metodi che permettono di installare sul nostro smartphone la versione web di WhatsApp in alternativa alla procedura che prevede la scansione di un codice QR. Peccato che quando inseriamo il numero del cellulare e i codici insieme ai dati personali sono proprio i malfattori telematici a prendere il controllo dell’account WhatsApp appena attivato. Ed ecco che scatta il furto di identità con la prima conseguenza operativa.
A questo punto a truffa della ballerina segue generalmente questo copione: mentre si tenta di moltiplicare la platea dei truffati distribuendo con il falso account altri inviti a rafforzare la guarnigione dell’inganno, i familiari e gli amici del vero titolare dell’account (è il livello due, quello della vera truffa che si tenta di portare a buon fine) sono raggiunti da una richiesta, motivata da un’improvvisa urgenza, di versare una somma di denaro con un bonifico sul solito Iban fraudolento, attestato su un conto estero.
Consiglio implicito: ad ogni richiesta di denaro verifichiamo direttamente con il titolare del messaggio che abbiamo ricevuto prima di fare qualunque azione. Raccomandazione puerile ma opportuna, visto il numero di vittime che la “finta ballerina” continua a mietere anche in questi giorni.
Ottimo investimento? Lo certifica il falso garante
Guai a dubitare della primaria e stimata associazione dei consumatori Adiconsum. E invece no. È proprio l’Adiconsum che lo denuncia: i malfattori del web copiano il marchio, ci costruiscono un sito, agganciano il cittadino e lo coccolano a suon di raccomandazioni. Quali? Quella di investire con fiducia i loro risparmi attraverso un intermediario, di cui forniscono copiose e dettagliatissime garanzie.
Adiconsum si è appena accorta di essere essa stessa una vittima diretta delle truffe sugli investimenti finanziari dopo aver diffuso appena due giorni prima un dettagliato warning su una delle modalità più subdole e sofisticate di questi inganni, la cosiddetta truffa del Truman show, il film del 1998 in cui il protagonista (impersonato da Jim Carrey) è inconsapevolmente immerso in un set cinematografico.
La truffa Truman Show funziona così. Ci arrivano sms con l’invito a spostare lo scambio di informazioni su un gruppo WhatsApp o Telegram dove viene rappresentato con indubbia abilità un forum composto da consulenti finanziari ed esperti membri del gruppo con tanto di certificazione sui loro successi, accompagnati da finti articoli di giornali e immagini create con l’intelligenza artificiale. Il tutto con un intenso scambio di pareri, consigli e apprezzamenti tra i membri del gruppo. Il tutto è realizzato in realtà con una banale WebView caricata su un server in mano ai truffatori. Il sito civetta snocciola contenuti testuali e visuali che testimoniano falsamente, attraverso quella che appare una piattaforma professionale di trading, una serie di grafici su operazioni finanziarie dai profitti crescenti.
Partecipare? Perché no. Magari con il conferimento prudenziale di somme limitate. A quel punto cadiamo nella trappola delle richieste: la copia di un documento di identità, un selfie formato tessera, i dati anagrafici sensibili e naturalmente un deposito iniziale attraverso un bonifico, un conferimento di criptovalute o altri metodi per accendere il nostro imperdibile investimento. Somma che svaniranno nel nulla. E intanto apriamo le porte, anche qui, a un poderoso furto di identità. Con tutte le possibili (anzi, più che probabili) conseguenze.
