Cybercrimine

La truffa sms del pacco bloccato: così i criminali approfittano di Black Friday e Cyber Monday

Impennata dei casi tra ottobre e novembre: sono 2227 le segnalazioni relative solo a questo fenomeno. Nel 2021 la Polizia Postale ha trattato in totale 12505 casi di phishing: 27 milioni e mezzo di euro gli importi sottratti. I consigli per non cadere in trappola

5 minuti di lettura

"Gentile cliente, ci risulta un'anomalia sul suo conto". E ancora: "Il tuo pacco è stato trattenuto presso il nostro centro di spedizione". Sono solo due esempi degli SMS truffa che stanno arrivando sugli smartphone di numerosi utenti. Sono messaggi brevi, con frasi allarmanti, che partono da mittenti sconosciuti e che invitano a cliccare su un link: una trappola tesa dai cybercriminali che puntano a rubare dati e credenziali bancarie. "É phishing puro, l'obiettivo è carpire soldi e informazioni personali. Non è un attacco diretto verso una o poche persone determinate, ma è massivo e conta sui grandi numeri, sul colpire il maggior numero di vittime possibili", ci spiega Riccardo Croce, vice questore aggiunto della Polizia Postale. "La formula della consegna di un pacco è molto utilizzata, considerando l'incremento degli acquisti online e soprattutto in tempi di Black Friday, Cyber Monday e shopping natalizio. Stiamo assistendo a una recrudescenza di questo fenomeno".

Negli ultimi due mesi, la Polizia Postale ha registrato un'impennata delle segnalazioni di phishing. "Tra ottobre e novembre abbiamo ricevuto al portale del commissariato online di polizia postale 2227 segnalazioni relative solo all'SMS fraudolento del pacco bloccato", ci dice Croce, sottolineando che in genere alcune di queste segnalazioni sfociano in denunce presso i nostri uffici o danno inizio a indagini di iniziativa della polizia. "Diventano così casi trattati, a cui si aggiungono gli altri casi trattati che arrivano dai cittadini che non usano il portale ma si rivolgono direttamente agli uffici".

Come funziona la truffa
Una delle formule più usate è quella del pacco bloccato. Magari abbiamo fatto un acquisto su una piattaforma di e-commerce e siamo in attesa della ricezione del prodotto: i cyber criminali cercano di approfittare di queste situazioni, ormai tanto frequenti con il boom del commercio online. Il messaggio che arriva sui nostri cellulari a volte sembra anche provenire dal corriere incaricato della consegna: il link contenuto nel testo dell'SMS conduce a un sito clone del sito reale del corriere espresso. Una pagina fake, pensata per rubare i nostri dati personali e delle nostre carte di pagamento. E l'obiettivo non si riduce solo a svuotare il nostro saldo. "Quando l'utente arriva alla schermata del metodo di pagamento sul falso sito internet, inserisce le sue generalità, i numeri della carta e il codice di verifica, finisce per consegnare al truffatore tante informazioni bancarie preziose. Ma non si tratta solo delle proprie credenziali finanziarie", aggiunge l'esperto, sottolineando che "se le carte vengono svuotate, i dati personali dell'utente possono essere utilizzati per tanti scopi illeciti: possono essere venduti sul dark web o sfruttate per furti di identità, per accendere contratti e attivare utenze a nome di altre persone".

La minaccia del phishing in Italia
Al di là dell'SMS del pacco bloccato, le formule di phishing adottate dai cybercriminali nel nostro Paese sono di diverso tipo. "Da gennaio a ottobre 2021 abbiamo trattato 12505 casi di phishing", ricorda l'esperto, sottolineando che gli importi sottratti a causa di queste attività è stato pari a circa 27 milioni e mezzo di euro

Tra questi casi, ci sono sicuramente le email di phishing: posta elettronica che sembra arrivare da interlocutori istituzionali pubblici o da aziende. In realtà sono trappole che possono contenere un allegato malevolo, come un file word o Pdf che cela un malware; oppure che ospitano nel testo un link a un sito di phishing. In tutti e due i casi l'obiettivo è sottrarre dati personali e credenziali bancarie della vittima. Ancora, lo smishing, vale a dire SMS di phishing (come quello del pacco o del conto bloccato): la truffa attraverso un SMS che in apparenza sembra arrivare da un corriere, da una banca o dalle poste.  "Una minaccia che a volte sfrutta abilmente uno strumento tecnico che si chiama alias telefonico: il messaggio truffaldino non solo appare al destinatario come proveniente da un numero attendibile, come quello di un istituto finanziario, ma si pone in coda nel cellulare dell'utente agli altri messaggi - questa volta reali - ricevuti da quell’istituto finanziario". Inoltre, c'è anche il vishing, una sorta di phishing vocale. Sfruttando la tecnologia VoIP, il truffatore chiama la vittima simulando il numero di telefono della sua banca e la spinge a comunicare i suoi dati e codici.

A volte queste tre forme di phishing vanno a braccetto. "Nei mesi scorsi abbiamo affrontato una frode bancaria che combinava queste tre diverse modalità. I cybercriminali erano a conoscenza di nome e cognome della vittima, del suo numero di telefono e della banca presso cui era correntista", ci racconta il vice questore aggiunto della Polizia Postale. "Il primo passo è l'invio dell'SMS di phishing, che comunica al destinatario l'esistenza di un pericolo, di una minaccia di qualche tipo. Quel messaggio invita l'utente a cliccare su un link che porta al sito clone di phishing, sviluppato per rubare le credenziali di accesso all'home banking della vittima". Una volta sottratti quei dati, però, è necessario anche conoscere il token virtuale, vale a dire quel codice dispositivo che consente il pagamento, che sempre più spesso è generato dall'app della banca sullo smartphone. Ed è qui che entra in gioco il vishing: "La vittima è ormai entrata nel panico più totale, è in uno stato di agitazione ed è presa dalla fretta di risolvere la situazione. Così viene raggiunta da una telefonata apparentemente proveniente dalla banca. In realtà è il truffatore, che approfitta di questo momento di debolezza della vittima per calcare la mano e persuaderla a generare il token virtuale e a leggerlo per telefono".

Le segnalazioni sui social
Sul suo account twitter, la polizia di Stato ha anche lanciato un’allerta: "Attenzione ai falsi SMS che contengono link per sbloccare un pacco. Viene richiesto di inserire i dati della carta di credito con conseguente prelievo di una cospicua somma dal conto". Le segnalazioni da parte dei cittadini sono numerose: in molti le hanno postate sul social network commentando il tweet della polizia di Stato. Alcuni hanno ricevuto un messaggio che avverte di un'anomalia sul conto che rischia di essere bloccato. Altri che il conto verrà sospeso. Altri ancora, che un pacco in consegna è stato bloccato.

In alcuni casi, nel testo del messaggio è specificato anche il nome del destinatario. E non mancano le persone che hanno ricevuto tutti e due i tipi di SMS.

 

Consigli per evitare la truffa
La platea delle vittime è vasta. Non è detto che solo le persone più anziane, fragili o meno attente cadano in simili tranelli. Questi attacchi avvengono su larga scala e colpiscono anche persone perfettamente in grado di destreggiarsi tra questo tipo di insidie e le altre minacce informatiche. "Può capitare un momento di debolezza, l'attimo in cui si è distratti o stanchi, o quando si attende un pacco con ansia e si è maggiormente portati a cliccare quel link di phishing", fa notare il vice questore aggiunto della Polizia Postale, che aggiunge: "Bisogna essere sempre prudenti e seguire questa regola: diffidare sempre e verificare dopo".

Innanzitutto, è bene verificare che il messaggio arrivato per SMS sia credibile, controllando bene il testo: ci sono errori? È scritto in un italiano corretto? E dando un'occhiata al numero di telefono da cui arriva. A quel punto, prima di inserire un dato personale o di una carta in una schermata web, bisogna controllare che quella pagina internet sia autentica, facendo attenzione al testo utilizzato, e agli elementi grafici che potrebbero essere superficiali e arrangiati: si può fare anche un confronto con il sito internet reale della ditta di consegna. Ma soprattutto, bisogna verificare che la connessione sia protetta, vale a dire che la pagina - dove è previsto l'inserimento delle mie credenziali di pagamento - usi il protocollo https (il protocollo che protegge l'integrità e la riservatezza dei dati scambiati).

"Infine ci sono i motori di ricerca. Visto che queste sono frodi su larghissima scala, è altamente probabile che io non sia la prima vittima", conclude l'esperto, invitando gli utenti a consultare sempre fonti ufficiali che informano su questi fenomeni, come il sito della Polizia Postale. E se qualcuno purtroppo cade vittima di queste trappole, il consiglio è di bloccare subito la carta e denunciare immediatamente alle forze dell'ordine, anche per impedire l'utilizzo illecito dei propri dati personali.