Da diversi anni, le ricorrenze e le feste in cui ci si scambiano regali e messaggi, si sono trasformate in grandi occasione di business per i criminali del web.
Nuove consuetudini e mode del momento, portano gli utenti a scambiarsi messaggi elettronici utilizzando software e servizi che permettono l’invio di cartoline elettroniche o la costruzione di messaggi animati.
Ma il top del business si trova nel settore degli acquisti on line, dove gli utenti rischiano di essere vittime di truffe di vario genere:
Da diversi giorni stanno arrivando nelle caselle di posta elettronica proposte di prodotti / regali che possono attirare l’attenzione all’acquisto. Molte di esse, effettivamente, sono promozioni che partono da noti brand che permettono attraverso il web, l’acquisto di oggettistica in modalità sicura. Alcune però sono truffe, e possiamo anche dividerle in varie categorie:
- Nella prima categoria ci mettiamo tutte le mail che in gergo tecnico chiamiamo di solito “Phishing“, sono mail identiche a quelle dei brand noti, i loro link riportano su siti web simili a quelli ufficiali, ma purtroppo non lo sono. Quindi l’utente, sicuro di essere sul sito del famoso brand “XXX”, procede inconsapevolmente all’acquisto del regalo. La truffa è giunta al termine, il regalo non arriverà mai ed i soldi sono stati presi dai criminali nascosti dietro al sito fake.
- Nella seconda categoria ci mettiamo alcune mail che riportano direttamente a siti web realizzati per l’occasione, brand sconosciuti, che con i loro servizi di e-commerce permettono l’acquisto di oggettistica di vario genere. E qui vengono altri dubbi: I prodotti arriveranno mai a destinazione? I nostri dati dove sono? Chi li ha presi?
Consiglio: prima di effettuare acquisti on line, assicurarsi che il sito web sia effettivamente il sito del brand o del rivenditore originale. Mentre, per la parte relativa al pagamento elettronico sarebbe meglio utilizzare servizi di pagamento sicuro come paypal o con doppie autenticazioni sui sistemi bancari.
- Altro modus-operandi utilizzato dai criminali del web, consiste nell’inviare mail contenenti offerte particolari di GIFT CARD (Buoni per l’acquisto su portali come Amazon o altri), di importi variabili che possono variare da 10,00€ / 20,00€ fino ad importi anche di 100,00€ / 200,00€. Anche qui bisogna segnalare la presenza di email fake che catturano l’attenzione dell’utente con grafiche accattivanti e foto mozzafiato di paesaggi bellissimi, convincendo così l’utente ad acquistare buoni per l’acquisto di oggetti e viaggi su siti gestiti da organizzazioni criminali. I buoni non saranno mai riscattabili da nessuna parte.
- Altra categoria, la più moderna, quella che fino ad un paio di anni fa nessuno immaginava, raggruppa tutte quelle tipologie di attacco in cui i criminali sfruttando la romantica ricorrenza, inviando mail o pubblicando post sui social di vario genere (regali, acquisti on line, messaggi carini, ecc.). Il tutto con lo scopo di attirare l’utente a cliccare su qualche link malevolo che agirà sul PC dell’utente installando alcuni malware che utilizzeranno la CPU, ad insaputa del visitatore del sito web, per minare crypto monete. L’utilizzo di questa tecnica criminale negli ultimi mesi si è espansa anche su tablet e smartphone portando l’utente ad installare APP contenenti Crypto Miner. Il vostro apparato diventerà più lento e aiuterete il criminale ad aumentare il suo gruzzoletto di moneta virtuale.
- In un’altra categoria di truffe rientrano tutti i messaggi su applicazioni come WhatsApp che invitano l’utente a cliccare su qualche link che permetterebbe di prenotare e ricevere buoni acquisto di oggetti di valore con sconti incredibili, ad esempio: un Samsung s8 a 50,00€. Alcune sono bufale e sono quelle che in cambio non chiedono soldi, ma solo una mail per l’invio del buono fake. Molte però sono truffe perché richiedono una piccola somma in denaro per l’invio del buono o il click su qualche link malevolo che a sua volta installerà sul PC o smartphone una qualche tipologia di software malevolo.
Consiglio: prima di procedere cliccando su qualsiasi link assicurarsi che non sia un link malevolo. In caso di mancata esperienza o incapacità a fare una giusta analisi del link, è sempre bene cestinare la mail e navigare fino al sito ufficiale del prodotto o gift card pubblicizzata alla ricerca della stessa promozione. Facendo un esempio banale: se vi dovesse arrivare una mail con la promozione di una GIFT CARD o promozione di un prodotto di cosmesi di un marchio denominato in maniera esemplificativa “marchiox”, basta andare sul motore di ricerca che siete abituati ad utilizzare e ricercare il sito ufficiale digitando semplicemente “marchiox”. Se tale promozione è effettivamente esistente, ne troverete traccia sul sito ufficiale del brand e da lì potrete continuare l’acquisto con più sicurezza.
Per quanto riguarda, invece, l’invio di messaggi elettronici o messaggi animati con la vostra foto, vi consiglio di chiedervi sempre: A chi sto consegnando la mia foto? Perché mi sta offrendo questo servizio gratuitamente? Se non vi interessa la risposta continuate liberamente ad utilizzare questi servizi, altrimenti fermatevi ed abbracciate il vostro partner usando le modalità classiche e non virtuali.
A cura di Massimo Chirivì, It Security Expert