Gli hacker hanno adattato la tecnica dello spoofing SMS (o smishing) sfruttando l’attuale crisi energetica e i problemi relativi al riscaldamento per il prossimo inverno viste le difficoltà nell’approvvigionamento del gas: sfruttando un classico schema di smishing ben congeniato, i criminal hacker truffano gli ignari utenti usando come esca un’offerta per l’acquisto del pellet.
Ovviamente la truffa dell’e-commerce, basata sul mancato invio della merce a fronte di una transazione bancaria era già nota: si individua un prodotto di interesse, si contatta il fornitore, si contratta sul prezzo, si pattuisce una transazione normalmente con un anticipo percentuale dell’ammontare (caparra) e poi il saldo a ricezione della merce.
Nel caso della frode, purtroppo la merce non arriverà mai. E la caparra andrà persa.
Inutile rincorrere il fornitore: risulteranno dati falsi, generalità rubate, email non congrua e conto di bonifico (spesso paypal o carta di debito (ricarica) di vari tipi).
Di cosa dispone il criminale per avviare la truffa?
Il cyber criminale dispone dei seguenti strumenti:
- una falsa identità;
- un falso conto;
- un server di telecomunicazione per simulazione di chiamate telefoniche (Spoofing) o di falsi SMS (smishing) attraverso un numero non reale: un server all’estero genera una chiamata intestando il numero telefonico con lo stesso numero del sito di e-commerce;
- una falsa pagina web fedele all'originale del sito di e-commerce, ma fraudolenta per inserire le credenziali.
La truffa si svolge con questa dinamica:
1. Si cerca la merce: il pellet. Se ne trova un bancale in offerta e lo si acquista su un sito e-commerce che fa da “escrow”, perché giustamente si vuole un intermediario “fidato”. Si accede, si inseriscono i propri dati, si ordina il proprio bancale di pellet.
2. Dopo un po’ il frodatore ci scriverà sulla chat del sito intermediario di e-commerce e ci dirà che manca qualcosa, ad esempio occorre rettificare l’indirizzo inserito di spedizione e attende che ci si colleghi in chat: la trappola è pronta.
3. Non appena ci si collega in chat, scatta la trappola: il criminale telefona (perché ovviamente in possesso del numero di cellulare, richiesto in modo fraudolento prima dell’acquisto) e rivela che manca una specifica sull’indirizzo di consegna.
4. A quel punto, mentre gli rispondiamo in chat, il criminale ci rivela che ci sta inviando un link via SMS per cambiare i dati.
5. La trappola è pronta: basta cliccare sul link SMS ed è finita.
6. Si verrà reindirizzati in un sito civetta dell’e-commerce che chiederà di inserire le credenziali e-commerce per cambiare l’indirizzo e inserire quello corretto.
7. Il criminale riaggancerà il telefono, ruberà le credenziali, entrerà in nostra vece e confermerà la ricezione anzitempo al nostro posto sbloccando il pagamento sul proprio conto falso (ovviamente fraudolento) del criminale.
Come capire se si tratta di una truffa?
Ci sono alcuni segnali a cui fare attenzione, normalmente il dibattito con il venditore assume toni sospetti: vengono fatte richieste atipiche come la richiesta del cellulare, in modo da agganciare la vittima fuori dal sito di e-commerce, in seguito via sms o chat arrivano richieste per la correzione di alcuni dati o dati mancanti, che servono a reindirizzare la vittima su siti civetta, creati per rubare le credenziali.
Come evitare questo tipo di truffa?
1. diffidare di annunci con prezzi molto bassi rispetto ad altri;
2. non scambiare mai il proprio numero di telefono per pagare su siti di vendita on line, potresti ricevere link fraudolenti tramite SMS o Whatsapp;
3. è buona norma non inserire mai le proprie credenziali tramite i link pervenuti via SMS, o quanto meno controllare sempre il sito a cui si viene indirizzati.
