Non aprite quel messaggio, è una truffa
Finte comunicazioni della banca, premi fasulli, falsi avvisi per pacchi postali bloccati. Le truffe in arrivo sul computer e soprattutto, via telefono, nel 2023 hanno fruttato alla criminalità digitale oltre 137 milioni di euro. E si parla solo di casi rilevati dalla Polizia postale... Essere accorti e non diffondere in rete dati sensibili non basta più.
Può capitare a chiunque. Nessuno, per quanto scaltro, avveduto o esperto nelle nuove tecnologie può considerarsi al sicuro. Sbaglia chi crede che le truffe online interessino solo persone anziane sprovvedute. Un attimo di disattenzione e si cade nella trappola. Basta pensare che recentemente anche il presidente di Consumerismo, l’associazione di tutela dei consumatori, Luigi Gabriele, è rimasto vittima di un raggiro online, nonostante riceva centinaia di segnalazioni di persone che sono state derubate e possa considerarsi un esperto del settore. Ecco come è andata: «C’è mancato poco che mi prosciugassero il plafond massimo di spesa consentita dalla carta di credito. Ero al computer, impegnatissimo dal lavoro e perciò distratto, quando mi arriva una mail da Aruba. O meglio l’intestazione era identica a quella della nota società di data center. Segnalava che il mio dominio stava scadendo e che dovevo rinnovare l’abbonamento. Ho interrotto quel che stavo facendo e ho cominciato a compilare il modulo che mi era stato inviato. Ovviamente mi chiedevano anche le coordinate bancarie. A un certo punto però qualcosa mi ha insospettito e sono andato a cliccare sull’indirizzo mail del mittente. E ho scoperto che a inviarmi la mail non era stata Aruba e che sono incappato come un ingenuo in una truffa ma ormai avevo inviato i dati. Ho chiamato la banca e ho fatto bloccare la carta di credito. La perdita di denaro è stata minima, solo 10 euro, ma il rischio enorme. In possesso delle coordinate, chiunque poteva facilmente fare qualsiasi acquisto fino al massimale consentito, cioè tremila euro».
Luigi Gabriele, non uno sprovveduto, è caduto comunque nella trappola. E mette in guardia: «Le segnalazioni stanno aumentando in modo esponenziale. Con l’Intelligenza artificiale le frodi avvengono adesso attraverso operazioni “a strascico” che scandagliano migliaia di utenti». La Polizia postale, nel solo 2023, ha rilevato 16.325 casi di frodi online (+6 per cento rispetto al 2022), per un totale di oltre 137 milioni di euro di profitti illeciti (+20 per cento). Le persone denunciate nell’arco del 2023 hanno superato le 3.500. Pierluigi Paganini, analista di cybersecurity e amministratore delegato Cybhorus, spiega che «i numeri rispecchiano solo in minima parte la realtà. La maggioranza di questi reati non viene denunciata dalle vittime».
Un fenomeno in espansione è quello del falso trading online, gli investimenti fatti sul web. Nel 2023 sono stati trattati 3.360 casi, 188 le persone denunciate per un totale di 109.536.088 euro di profitti illeciti. Con l’Intelligenza artificiale c’è stato un’impennata degli illeciti. L’ultimo raggiro scoperto faceva leva sul logo dell’Eni per proporre investimenti con guadagni favolosi. Le vittime venivano agganciati tramite Facebook e Instagram. «Con 200 euro di investimenti in Eni puoi ottenere un reddito passivo di 7.200 euro. Registrati ora e diventa ricco domani». E poi: «Tutti gli investimenti sono assicurati dallo Stato. Il gruppo Eni pagherà»; questi i messaggi accompagnati dal logo della multinazionale pubblica dell’energia e dall’immagine del suo amministratore delegato Claudio Descalzi. Nonostante la società avesse denunciato il caso pubblicamente nell’aprile del 2022, è continuata la diffusione di pagine «scam», di truffe, su Facebook e Instagram.
In tanti sono caduti nella rete e i soldi arrivati per i presunti investimenti, 183 milioni di euro, sono finiti in una serie di conti in Lituania. Un malcapitato ha perso 230 mila euro. Il raggiro che andava avanti da un paio di anni è stato bloccato dalla Polizia postale che ha oscurato 473 risorse online relative a siti web, account e annunci pubblicitari sulle piattaforme di Meta. Il meccanismo era semplice: conquistata la fiducia della persona, questa era dirottata su una piattaforma che simulava il trading e guadagni importanti. Quando la vittima chiedeva di passare all’incasso e si accorgeva di aver perduto l’intero capitale investito, ecco che spuntava un sedicente avvocato che garantiva il recupero della somma a fronte però di lauta parcella. Truffa su truffa. La banda era formata da italiani. «Gli autori delle frodi fanno parte di vere organizzazioni criminali e per depistare gli investigatori,riescono a collegarsi da qualsiasi punto del mondo, anche se collocati in un posto diverso» afferma Diego Marson, Chief security officer di Yarix (Var Group), una delle aziende italiane più autorevoli nel comparto della sicurezza informatica. «In un’operazione che abbiamo condotto, l’autore dell’attacco informatico sembrava localizzato negli Usa, a Panama e in Turchia ma da analisi più approfondite sulla posizione reale del server sono emerse tracce dell’infrastruttura dei malviventi anche in Europa».
Esistono poi altre modalità per svuotare i conti ai consumatori. Il raggiro in cui è incappato il presidente di Consumerismo, è un tipico caso di «phishing», ovvero una truffa che si serve di mail ingannevoli che arrivano, apparentemente, da istituti affidabili e conosciuti dall’utente, per carpire dati personali tramite la compilazione di moduli. Meno noto al largo pubblico, ma non meno economicamente letale, è lo «smishing» che è un phishing fatto attraverso sms. I cybercriminali hanno scoperto che le persone sono più disponibili quando ricevono un sms. «Siccome sono più corti e appaiono prima sul telefonino, catturano subito l’attenzione dell’utente che è portato a cliccare e a fornire informazioni sensibili» spiega Paganini. È un canale tra i più utilizzati dalla criminalità digitale. Lo dimostra l’ultima campagna di sms truffa che sfrutta il logo delle Poste italiane e induce le vittime a fare clic su link fraudolenti o scaricare virus. L’Agenzia per la cybersicurezza nazionale ha chiarito il meccanismo del raggiro. Il messaggio dice che il postino non ha potuto consegnare un pacco e ha bisogno di confermare alcuni dati per sbloccare l’invio. L’utente viene indirizzato verso una pagina «malevola» con il logo di Poste e dove si richiede, per la consegna, di compilare un form con dati personali, comprese le coordinate della carta di credito per l’addebito della commissione per il servizio. A questo punto la truffa è servita.
Un campanello d’allarme per mettere sull’avviso la vittima, dovrebbe essere il prefisso telefonico che è quello delle Filippine, ma pochi se ne accorgono. Se l’escamotage del pacco può insospettire, i messaggi che arrivano dalle catene di supermercati fanno breccia più facilmente. La Polizia postale è intervenuta più volte ma il phishing va a ondate. Nel mirino i marchi più conosciuti, Coop, Esselunga e Conad. Il meccanismo è quello di messaggi con il logo del supermercato che promettono incredibili buoni-spesa da 250 euro, assolutamente falsi, o che invitano a fornire propri dati per partecipare all’assegnazione di premi più che invitanti, per esempio smartphone. Un altro meccanismo di truffe che sta avendo una diffusione esponenziale è il «fake shop». Si tratta di negozi online che riproducono in maniera fedele quelli originali. Yarix, che collabora con le forze dell’ordine e la Polizia Postale per il contrasto ai crimini informatici, ha condotto un’indagine a livello mondiale che ha portato all’identificazione di una struttura criminale attiva almeno dal 2020. «In tre anni, erano stati creati oltre 15 mila siti fraudolenti e, al momento della scoperta, più di 13 mila erano attivi ancora, di cui 1.200 associati a 48 marchi italiani» racconta Marson. «Nel mirino sono finiti i settori della moda dei giocattoli e dell’arredamento. Ogni brand aveva più fake shop legati al proprio nome. Alcuni erano repliche di nomi importanti come Armani e Prada. Il tutto è stato segnalato alla Polizia postale che ha provveduto a smantellare questi siti truffa».
Le cifre che può fornire Marson tra quelle secretate, danno un’idea del giro d’affari illeciti. «Abbiamo contato circa 112 mila ordini in diverse valute, eseguiti in dollari e in euro, per un fatturato totale di circa 7,5-8 milioni di dollari ed euro. Di questi 112 mila ordini, quasi 15 mila sono stati piazzati da persone residenti in Italia, per un valore totale di oltre un milione di euro». Per scoprire questi negozi finti le unità investigative si servono anche dell’intelligenza artificiale ma non è una guerra ad armi pari. La malavita fa leva anche sulle normative insufficienti - quando non compiacenti - dei Paesi che sono diventati «paradisi digitali» per le truffe. Le quali, con il commercio online che prende sempre più piede, sono destinate a moltiplicarsi.