È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

2023/09/12: La RSI ha disabilitato gli embed e quindi quelli presenti nei miei articoli hanno smesso di funzionare. Li sto togliendo man mano, sostituendoli con i link diretti; portate pazienza.

---

[CLIP: Raffica di suoni di notifica di WhatsApp su iPhone]

Di solito, invece, c’è di mezzo una frontiera, in modo da complicare le indagini, ma nel caso tuttora in corso che mi è stato segnalato tutto avviene in Svizzera, e per incompetenza o spavalderia i truffatori usano numeri di telefono locali, di cui è facile identificare i titolari. È una tecnica di inganno ben strutturata, che è meglio conoscere e far conoscere per evitare di finire nella sua complessa e costosa ragnatela.

Benvenuti alla puntata dell’8 settembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Tutta la vicenda prende il via alla fine di agosto 2023. Trattandosi di una storia che ha anche dei risvolti legali ancora aperti, nel raccontarla cambierò i nomi delle persone e di alcuni dei luoghi e siti coinvolti, lasciando comunque intatta la sostanza della tecnica della truffa.

[per la stessa ragione non posso pubblicare il nome del sito truffaldino e dell’agenzia]

La vittima, che chiamerò Mario e risiede in Svizzera, viene contattata su WhatsApp da una persona che si presenta come rappresentante di un’agenzia che gli offre un lavoro: una situazione frequente e assolutamente normale, soprattutto per una persona come Mario, che come tante altre ha un profilo professionale pubblico su LinkedIn proprio per ricevere offerte lavorative. L’agenzia, fra l’altro, è piuttosto ben conosciuta, e nei siti antitruffa come Scamadviser o Trustpilot gode di ottima reputazione fra le aziende che si occupano di recensire prodotti.

Il lavoro proposto consiste nell’aiutare altre aziende a migliorare i risultati di vendita facendo compravendite di prodotti in cambio di una provvigione. Per rassicurare Mario, l’agenzia gli propone di aprire un account di prova per una settimana e gli affianca una persona che non solo lo guida e lo assiste, ma deposita anche sull’account del denaro dell’agenzia, da usare per le compravendite. Mario esegue diligentemente i compiti che gli vengono assegnati e alla fine del periodo di prova risulta che ha guadagnato quasi mille dollari di provvigioni. Tutto si svolge online, sul sito dell’agenzia, che per ovvie ragioni non posso nominare qui, e via WhatsApp.

Mario vede che il meccanismo funziona e quindi apre un account effettivo, sul quale carica una piccola cifra in criptovaluta, che ogni sera gli viene effettivamente restituita, insieme alle provvigioni guadagnate, depositandola sul suo conto presso Binance.com, che è estranea al raggiro.

Fino a questo punto, insomma, Mario ha incassato più di quanto abbia investito. I suoi soldi sono rientrati sul suo conto Binance: non sono numeri fittizi di un conto altrettanto fittizio sul sito dei criminali, come avviene spesso. E su WhatsApp entra in contatto con altri collaboratori dell’agenzia, che è un nome di spicco nel suo settore, e tutti sono molto contenti dei guadagni che stanno ottenendo. Sono pareri rassicuranti, resi ancora più credibili dal fatto che i numeri di telefono visibili su WhatsApp di queste persone sono nazionali: hanno il prefisso locale 022, che corrisponde a Ginevra, non a qualche nazione lontana.

Ma se gli incassi di Mario sono maggiori dei suoi investimenti, allora dove sta la truffa?

La truffa del “retail rating boost”

I truffatori hanno costruito attentamente la propria trappola. In realtà non rappresentano affatto una nota agenzia affidabile, ma hanno creato un sito falso che replica il nome e la grafica di quell’agenzia e lo hanno reso quasi invisibile ai principali motori di ricerca per non attirare attenzioni indesiderate.

Vanno in giro su siti come LinkedIn e guardano i profili delle persone in cerca di lavoro, selezionando quelle che hanno maggiori probabilità di diventare vittime, in base alla situazione lavorativa, all’età e ad altri fattori. Da quei profili estraggono i numeri di telefono e poi contattano le persone via WhatsApp.

Se la persona contattata accetta la proposta e apre un account presso il sito dei truffatori, i criminali inizialmente la mettono a proprio agio e le fanno fare piccole compravendite che hanno successo [questo tipo di truffa viene a volte chiamato retail rating boost scam o boosting sales scam]. Come ulteriore rassicurazione, fanno fare alla vittima anche un certo guadagno. Tutto sembra andare per il meglio, e anzi arriva la grande occasione: una compravendita molto importante, che promette provvigioni altrettanto importanti.

Alla vittima viene quindi chiesto di procedere come al solito, ossia anticipando la cifra, qualche migliaio di dollari, e poi arriva un’occasione ancora più grande, per la quale va versato un altro anticipo, cosa che le vittime fanno spesso, perché hanno visto che il sistema funziona e le provvigioni promesse sono arrivate. È a questo punto che scatta la trappola: i criminali continuano a rilanciare, offrendo compravendite sempre più impegnative, finché la vittima non ha più soldi da inviare.

A quel punto i soldi inviati, decine di migliaia di dollari, euro o franchi, non tornano più indietro, e se la vittima contesta, i truffatori rispondono accusandola di non aver rispettato le regole del contratto, che prevedono un numero minimo di transazioni prima che vengano erogate le provvigioni. In realtà sono tutte scuse, il “contratto” è carta straccia e i criminali non hanno la minima intenzione di restituire il maltolto.

A Mario è andata esattamente così: ha eseguito gli acquisti iniziali come richiesto, e tutto è andato liscio. Ma poi gli è arrivato un cosiddetto “package”, una serie di tre acquisti di importo superiore a quello presente sul suo account ma con provvigioni promesse molto elevate. Ha versato qualche migliaio di dollari in criptovaluta per colmare la differenza e ha completato le prime due transazioni. Poi ne è arrivata un’altra, che richiedeva circa diecimila dollari di versamento, li ha racimolati e li ha inviati. Ma a quel punto è arrivato un altro “package”, che avrebbe richiesto un anticipo di altri quindicimila; Mario ha protestato e i truffatori gli hanno risposto che senza questo ulteriore versamento non avrebbe ricevuto le sue spettanze, come previsto dal contratto.

Mario non ha più rivisto il proprio denaro e ha sporto denuncia alla polizia, raccontando tutti i dettagli della vicenda, che poi ha raccontato a me, sperando che la storia di quello che è successo a lui possa essere di aiuto, e di monito, a qualcun altro.

In chat con i truffatori

Quello che colpisce in questa truffa, oltre al danno economico ingente subìto dalla vittima, è l’uso di numeri di telefono nazionali, ai quali corrispondono persone reali, non bot. Me ne sono accorto perché esaminando il codice HTML pubblico del sito dei truffatori ho trovato il link al loro “servizio clienti”, che in teoria sarebbe appunto accessibile solo a chi ha un account, ossia alle vittime, e ho iniziato una conversazione via WhatsApp con uno degli “agenti” del sito truffaldino, che ha dato risposte decisamente umane e non preprogrammate alle mie domande, intenzionalmente molto differenti da quelle gestibili da un eventuale sistema automatico.

Queste persone reali, con numeri di telefono di rete fissa nella zona di Ginevra, sono tutte complici? Oppure nel gruppo WhatsApp dei collaboratori ci sono anche altre vittime che ancora non si sono accorte di essere finite in una truffa? Lo appureranno, si spera, le indagini delle autorità, che non dovrebbero avere particolari difficoltà a rintracciare gli intestatari di quei numeri. Se non altro, qui non c’è l’ostacolo abituale di doversi rivolgere a forze di polizia di altri paesi.

Nel frattempo, ho segnalato il nome del sito dei truffatori a Google, a Microsoft e ad altri servizi di protezione degli utenti, come Netcraft e Antiphishing.ch, in modo che chi usa Chrome, Firefox, Edge e altri browser riceva automaticamente un vistoso avviso se cerca di collegarsi a quel sito.

Ho poi contattato il registrar, ossia la società che gestisce il nome di dominio usato dai truffatori, per avvisarla della situazione. I criminali probabilmente riapriranno un altro sito entro pochi giorni, ma nel frattempo qualche vittima, forse, avrà evitato la trappola.

[aggiornamento: guardando l’HTML del sito dei truffatori ho anche trovato un link a un servizio di chat commerciale, contenente quello che sembrava un identificativo numero di cliente. Ho contattato i gestori del servizio di chat, spiegando la situazione, e hanno detto che si tratta effettivamente di un ID di un ex cliente, di cui hanno ancora i dati; hanno aggiunto che sono disposti a fornire tutti i dati dell’ex cliente dietro richiesta formale delle autorità]

[altro aggiornamento (2023/09/08 14:40): i criminali hanno riaperto con un altro nome di dominio. Ho segnalato anche quello]

Sono piccoli gesti di contrasto che ogni utente di Internet può fare e che collettivamente rendono un po’ più difficile la vita ai criminali. Trovate i link per fare queste segnalazioni presso Disinformatico.info.

Ma c’è anche un altro gesto di contrasto utile che chiunque può fare: raccontare agli amici, ai familiari e ai colleghi truffe come questa, come raccomanda anche il sito della Prevenzione Svizzera della Criminalità, per mettere in guardia chi potrebbe incapparvi perché comprensibilmente fa fatica a immaginare che ci possano essere criminali dall’aria così rispettabile, così premurosi e pazienti, con numeri di telefono nazionali e addirittura disposti a dare dei soldi inizialmente alla vittima per poi rubargliene molti di più in seguito. E non c’è da vergognarsi o da sentirsi stupidi: questi truffatori sono professionisti e sanno esattamente come mettere sotto pressione le persone e approfittare della loro fiducia.

E non hanno pietà: mentre registro questo podcast, stanno ancora tormentando Mario dicendogli che i suoi soldi sono ancora lì, e che se li rivuole deve racimolare altri soldi da versare per completare il contratto, facendo se necessario una colletta fra amici e parenti o chiedendoli anche a uno strozzino. Quando Mario li ha avvisati che si sarebbe rivolto alla polizia, hanno risposto che questo avrebbe violato la clausola di confidenzialità del contratto e hanno minacciato di citare lui, la vittima, in giudizio.

In attesa di un intervento delle autorità, si può solo fare prevenzione. Se un’offerta online sembra un po’ troppo remunerativa, se non richiede competenze professionali specifiche, e soprattutto se esige che il lavoratore paghi il presunto datore di lavoro invece del contrario, è fondamentale mantenere i nervi saldi e non cedere alla pressione psicologica e alla speranza di aver trovato la soluzione per i propri problemi finanziari o lavorativi. Tutte cose facili da dire quando si esaminano queste situazioni dall’esterno, ma molto meno facili da fare quando ci si è in mezzo, e l’emozione è un macigno. Siate prudenti.

Ultimo aggiornamento: 2023/06/08 00:40. Questo articolo è disponibile anche in versione podcast.

Avete ricevuto anche voi messaggi da sedicenti rappresentanti degli Illuminati, che vi invitano a far parte della loro congrega segreta di controllo del mondo e vi promettono in cambio “potere, fama e gloria”? Se vi è capitato, probabilmente li avete cestinati immediatamente come spam, come ho fatto anch’io, e magari avete pensato “ma chi vuoi che abbocchi a una cosa così palesemente assurda?” e sareste curiosi di sapere esattamente cosa succede a chi risponde a questi deliri cospirazionisti.

Gli esperti di sicurezza informatica della società specializzata Bitdefender hanno avuto la stessa curiosità: anche loro hanno ricevuto molte segnalazioni di mail di questo genere ai primi di maggio e quindi hanno deciso di indagare, contattando questi presunti membri degli Illuminati. Il risultato delle loro ricerche è piuttosto inaspettato e rivela il movente di questa nuova campagna di spam.

In un articolo pubblicato pochi giorni fa [in inglese ma disponibile anche in italiano], i ricercatori hanno documentato la vastità di questa attività truffaldina, notando che le mail di presunto invito erano rivolte principalmente a utenti degli Stati Uniti (nel 62% dei casi), Australia (11%), Regno Unito e Germania (7%), ma anche Sudafrica, Irlanda, Repubblica Ceca e Slovacchia e in misura minore Danimarca, Austria, Svizzera, Croazia, Spagna e Italia. Questo non vuol dire che i truffatori pensino che gli utenti più allocchi siano in questi paesi; più probabilmente, visto che la campagna è prevalentemente condotta in inglese, i criminali hanno scelto paesi nei quali la conoscenza dell’inglese è più diffusa.

Queste mail di invito, secondo i ricercatori di Bitdefender, arrivano principalmente dalla Nigeria (nel 40% dei casi), dal Sudafrica (16%), dagli Stati Uniti (14%), dai Paesi Bassi (13%), dall’Argentina e dal Brasile in misura nettamente minore (5% ciascuno).

Le mail di invito a far parte degli Illuminati sono un classico di Internet, ma quando i ricercatori hanno risposto a questi messaggi recenti hanno notato una novità nella tecnica usata dai truffatori: nell’invito c’è la proposta di contattare personalmente il sedicente “Gran Maestro” degli Illuminati tramite un numero di telefono, invece di farlo via mail come consueto. È un approccio decisamente più personale e coinvolgente.

Per esempio, una di queste mail truffaldine diceva (tradotta in italiano):

La invitiamo a unirsi all’organizzazione degli Illuminati per avere ricchezza, fama e influenza. Per maggiori dettagli contatti direttamente le informazioni seguenti. WhatsApp: +39 3[omissis]39.

Un numero con prefisso telefonico italiano.

Altre mail di invito avevano testi più ricchi di sfumature. Eccone una delle tante, tradotta anche questa in italiano:

Sulla base dei criteri di affiliazione degli Illuminati, noi riteniamo che lei sia di grande interesse e possieda buona padronanza della destrezza manuale e della competenza accademica. Pertanto la consideriamo come la classe che sarà la piattaforma per la quale avrà modo di incontrare le persone facoltose che possono portarla alla ricchezza, al potere, alla fama e alla gloria. Consiglio vivamente che lei si unisca a noi negli Illuminati. Unendosi a noi diventerà ricco e vivrà la vita che desidera. Accetta l’offerta? Se sì, aggiunga il gran maestro tramite WhatsApp +3069[omissis]19.

I ricercatori hanno deciso di contattare questi numeri, che erano stati usati per creare account Whatsapp Business negli Stati Uniti, in Italia e in Grecia, per vedere cosa sarebbe successo. Mi raccomando: non provateci. Gli esperti l’hanno fatto con tutte le precauzioni e protezioni che sanno usare, ma un utente comune rischierebbe di avere problemi già solo per aver dato il proprio numero di telefono a dei criminali professionisti. La cosa migliore da fare, se ricevete mail di questo tipo, è semplicemente cestinarle. Non contengono virus e non sono pericolose dal punto di vista informatico, neanche se le avete aperte per leggerle.

Gli specialisti di Bitdefender, dice il loro comunicato stampa, “sono riusciti a parlare con diversi individui“ [“tra cui un “LordshipMaster” dalla Grecia, un Gran Maestro negli Stati Uniti, che presumibilmente si fa chiamare Kurt, e Anthony, un altro reclutatore degli Illuminati che ha affermato di risiedere, attualmente, a Roma.”]

Le conversazioni si sono svolte tramite messaggi diretti su WhatsApp, principalmente in inglese [ma “è diventato chiaro che gli interlocutori non erano madrelingua” perché commettevano “diversi errori grammaticali” e usavano “espressioni non corrette”], attingendo a una serie standard di testi e anche video. Promettevano per esempio “stipendi mensili di 200.000 dollari e oltre, una nuova casa, appuntamenti con le più importanti celebrità, un talismano magico (che non può mai mancare) e l’accesso gratuito al Bohemian Grove – un club d’élite su invito.”

Veniva poi proposto di compilare un modulo di adesione decisamente surreale, con simbologie sataniste e timbri “Top secret” che solo una persona supremamente ingenua (o vulnerabile) potrebbe considerare plausibili:

Secondo i ricercatori, la trappola scatta a questo punto: il modulo chiede di fornire informazioni personali, e queste informazioni permettono ai truffatori di “commettere reati di furto d’identità”, perché i dati personali richiesti includono “nome e cognome, data di nascita, indirizzo, numero di telefono, occupazione, patrimonio, indirizzo email, stato civile, età e una foto recente”. Sorprendentemente, non viene fatta nessuna richiesta di denaro, come capita invece normalmente in questo genere di truffa. 

La tecnica di contatto personale usata da questi truffatori può sembrare decisamente laboriosa per ottenere dati che sarebbe possibile rastrellare facendo un cosiddetto scraping, ossia una campagna automatizzata di raccolta dei dati pubblicati volontariamente dagli utenti sui social network. Ma forse qui entra in gioco l’autoselezione delle vittime: i truffatori creerebbero apposta messaggi e modulistica sfacciatamente implausibili, in modo che rispondano soltanto le persone ingenue o fragili, che sono i bersagli più adatti da colpire e che non sapranno come gestire un furto di identità o un reato commesso usando i loro dati personali.

Ho contattato Bitdefender, che ha risposto che ci sono stati alcuni accenni che hanno fatto credere che ci fosse dell'altro dietro questo stratagemma. “In particolare” hanno detto “uno dei "grandi maestri" ha detto che la compilazione del modulo era una delle prime fasi del processo di reclutamento. Questo ci fa pensare” hanno dichiarato i ricercatori  “che dietro tutto il fumo e gli specchi, i truffatori vogliano sfruttare al massimo le vittime convincendole a inviare denaro per facilitare la loro iniziazione” [hanno aggiunto che “È molto probabile che i cosiddetti reclutatori chiedano ai loro obiettivi di trasferire fondi per l'acquisto di vari oggetti necessari per condurre un "rituale" o addirittura di pagare alcune quote di iscrizione come dimostrazione di fiducia e dedizione.”]

I ricercatori si sono anche un po’ divertiti: hanno scritto a uno dei truffatori, spiegando che avevano ricevuto anche un altro invito a far parte degli Illuminati e hanno chiesto al truffatore se conosceva il mittente di questa seconda proposta. Il primo truffatore ha risposto con parole involontariamente azzeccatissime:

Voglio che lei sappia che ci sono molti impostori ovunque su Internet che fingono di essere agenti ma non lo sono. Voglio che lei blocchi le loro mail e li ignori.

Il link in questione è http://lever***scramble.cn/Manor-v2w/tb.php?oo=zo1676573320813 (con age al posto dei tre asterischi), che porta poi a 50xun9d(punto)cn. Già il suffisso CN, che indica la Cina, dovrebbe far riflettere: perché mai Manor dovrebbe gestire i suoi concorsi attraverso un sito cinese? Ma forse gli utenti distratti non si accorgeranno del suffisso .cn, visivamente abbastanza simile a .ch, e i truffatori contano proprio sulla disattenzione delle vittime.

Il “concorso” dapprima fa fare un gioco (che in realtà è truccato, per cui si “vince” sempre) e poi chiede di mandare una copia del link/invito ad almeno 20 contatti su WhatsApp o Messenger per poter accedere ai “premi”, che ammonterebbero (dicono i truffatori) a 2000 franchi. Se mandiamo questo link/invito, esponiamo i nostri amici e colleghi alla stessa trappola, di cui probabilmente si fideranno perché arriva da una persona di cui si fidano.

In realtà ho visto che non c'è bisogno di mandare questi inviti: se si clicca tante volte si passa lo stesso al livello successivo. La barra di progressione alla fine arriva al 100% senza aver dato i contatti di nessuno.

Dopo aver chiesto di “registrare” un’app, inizia il bombardamento pubblicitario. La truffa sembra consistere proprio in questo: sfruttare un nome molto conosciuto (quello della Manor) per sembrare credibili e convincere il maggior numero possibile di persone a seguire le istruzioni e condividere il link, in modo da incassare denaro per la visualizzazione di pubblicità.

Ovviamente Manor, che ha già smentito ogni legame con questo “concorso”, ne può subire un danno reputazionale.

Ho già segnalato a Google il sito truffaldino; chiedo anche a voi di fare altrettanto usando l’apposita opzione del vostro browser oppure andando a questo link per Firefox.

Un altro giorno, un’altra segnalazione di dati personali a spasso, pronti per essere raccattati dal primo criminale informatico che passa ed essere usati come punto di partenza per attacchi informatici e truffe di ogni sorta.

Mi è stato segnalato un indirizzo IP italiano, sulla rete Eolo, che propone una pagina aperta a tutti che ospita un form di immissione dati:

Il form cita Artoni, che è una società di logistica italiana, ma i dati a spasso non sono colpa sua; la pagina che li diffonde è probabilmente di un’azienda che usa Artoni per le proprie spedizioni di merci.

Il form da solo non dice granché, ma non c’è bisogno di provare a immettere dati a caso sperando di trovare qualche corrispondenza: sarebbe molto improbabile e tedioso. Come capita spesso in tanti database, anche questo form ha una caratteristica elementare, utilissima per chi vuole rastrellare dati: premendo semplicemente il pulsante Cerca, senza immettere nulla, elenca tutti i dati dell’intero archivio, che sono circa un migliaio. Una tecnica classica, che qualunque scraper o raccattatore di informazioni conosce e applica.

Cliccando sui link delle singole ordinazioni si possono vedere i dettagli: per esempio quelli dell’azienda di Urbisaglia, in provincia di Macerata, che paga con ricevuta bancaria a 60 giorni fine mese e ordina circa 600 capsule di caffè e spende quasi 600 euro, o quelli della signora Antonella, di Genova, che paga le sue capsule di caffè con la carta di credito.

Sapere i dati di chi compra caffè forse non sembra un grosso problema di sicurezza, visto che il consumo di questa bevanda non è particolarmente controverso o privato, ma ovviamente il problema non è il prodotto acquistato, ma il fatto che i dati dei clienti siano accessibili a chiunque, anche a malintenzionati.

L’esempio più banale di questo problema è che un criminale potrebbe usare le informazioni per chiamare la signora Antonella di Genova spacciandosi per un addetto del servizio di sicurezza delle carte di credito che le telefona per un controllo e dicendole con tono rassicurante che sta solo verificando che lei abbia regolarmente acquistato quello specifico prodotto. Il criminale potrebbe conquistarsi facilmente la fiducia della vittima descrivendole in dettaglio che cosa ha acquistato e quando lo ha acquistato, se ha ricevuto correttamente la merce o se vuole fare reclamo, e poi potrebbe chiederle, con la massima disinvoltura, “Sempre per un controllo di sicurezza, signora C*******, mi conferma i dati della carta con la quale ha effettuato il pagamento? Perché qui risulta che l’acquisto è stato segnalato come fraudolento e non vorrei che ci fosse un equivoco. Sarebbe un peccato bloccarle la carta di credito per errore.”

Certo, non tutti cadranno nella trappola e comunicheranno i dati della propria carta di credito, che il criminale potrà poi usare per commettere frodi. Ma con migliaia di nominativi a disposizione in questo singolo archivio, prima o poi troverà qualcuno che ci cadrà. E al criminale basta avere successo solo una volta ogni tanto.

Purtroppo non sembrano esserci dati utili per risalire all’identità del gestore maldestro di questa pagina Web, ma ho provato a contattare via mail alcuni clienti per chiedere se se la sentono di dirmi il nome della ditta alla quale hanno fatto l’ordinazione. Finora non ha risposto nessuno.

C’è un tipo di spam particolare che sta diventando più frequente: i video fraudolenti su YouTube. Video che vengono addirittura consigliati da YouTube ai suoi utenti.

Si tratta di video che sembrano pubblicati da aziende molto conosciute ma sono in realtà creati da truffatori che prendono immagini, nomi e marchi di queste aziende e riconfezionano il tutto in modo che lo spettatore creda di assistere a una nuova comunicazione aziendale, per esempio l’annuncio di un nuovo prodotto, mentre in realtà gli viene proposto del materiale video vecchio al quale viene aggiunto un link che porta alla truffa vera e propria.

La cosa assurda, appunto, è che questi video finiscono fra quelli consigliati allo spettatore da YouTube perché rispecchiano i suoi interessi.

Per esempio, nei video che mi vengono consigliati da YouTube mi è comparso l’avviso di un video in diretta il cui titolo parlava di SpaceX, la società spaziale di Elon Musk, e annunciava un aggiornamento da parte di Musk stesso sul lancio del razzo gigante Falcon Heavy, un argomento che effettivamente mi interessa. L’account che presentava il video aveva il marchio di Tesla, altra azienda di Musk, e si faceva chiamare Tesla Academy.

Facendo scorrere il video, però, mi sono accorto che non era affatto una diretta, ma era una replica di una presentazione fatta da Elon Musk tempo fa, ed è comparso in sovrimpressione un codice QR insieme all’immagine di un tweet di Elon Musk che diceva “La tua vita cambierà entro pochi minuti se scansionerai il codice QR. Non è uno scherzo.”

Inoltre nei commenti erano stati fissati alcuni messaggi che parlavano di un grande giveaway, ossia di una distribuzione di regali da parte di Musk. Addirittura veniva proposto di raddoppiare le proprie criptovalute nel giro di “3-5 minuti” se si scansionava il codice QR mostrato nel video o si seguiva un link, citato nei commenti, per partecipare a questa elargizione.

Cliccando sul link o seguendo il codice QR si veniva portati a un sito contenente un annuncio, con tanto di logo di SpaceX e ritratto di Elon Musk, che spiegava i dettagli della partecipazione. Per raddoppiare le proprie criptovalute era sufficiente inviarle al sito.

Ovviamente si trattava di una trappola: se avessi abboccato, avrei mandato dei soldi non a SpaceX o a Elon Musk ma a degli sconosciuti, che sicuramente avrebbero fatto qualunque cosa tranne rimandarmene il doppio. Ho quindi segnalato a YouTube che si trattava di spam, usando l’apposita funzione e scegliendo la sezione “Spam o ingannevole” e poi “Truffe o frodi”, e infine ho descritto le ragioni della segnalazione.

YouTube ha rimosso il video poco dopo, a dimostrazione che segnalare questi truffatori funziona, ma resta un problema di fondo: YouTube non ha fatto prevenzione e ha accettato che venisse creato un utente il cui nome era un marchio registrato e la cui icona era anch’essa un marchio registrato, e ha inserito questo video truffaldino fra i consigliati, dandogli evidenza e visibilità, senza controllare se provenisse davvero dall’account dell’azienda titolare dei marchi.

Questa promozione da parte di YouTube di un video di truffatori è quindi molto pericolosa, perché conferisce credibilità al tentativo di frode. Se incontrate altri video di questo genere, segnalateli a YouTube, e avvisate i vostri conoscenti di questo fenomeno: non ci si può fidare ciecamente dei video consigliati da YouTube.

Diversi amici e lettori mi hanno segnalato di aver ricevuto una mail in latino che li ha sorpresi moltissimo:

Bonus dies, mi amice, quid agis?

Longissimum tempus. Gaudeo te certiorem facere de meis rebus in accipiendis pecunia illa hereditatis sub cooperatione novi e patria tua translata.

Mox in INDIA sum incepta pro obsidione cum mea portione totius summae. Interim non oblitus sum praeteritorum laborum et conatum adiuvandi me in transferendis illis pecuniarum hereditatibus, quamvis aliquo modo nobis defecerit.

Nunc secretarium meum in LOME Togo Africae occidentalis contactum, nomen eius MRS JESSE ROBERT in inscriptionem electronicam (jessyrobert1991@gmail.com) pete ut tibi summam totalis ($1,500,000.00) tibi mitteret, cuius ego decies centena millia quingenti milia civitatum unitarum. pro recompensatione tua conservata pro omnibus praeteritis laboribus et conatibus me in re gerenda adiuvandum.

Tuam operam per id tempus valde probabam. Libenter igitur senties et contactum secretarii mei MRS JESSE ROBERTI et eam instrue ubi ad te mitteret ATM CARD summae totalis ($1,500,000.00). Fac ut sciam statim a te accipias ut post omnem passionem tunc gaudeam participare possimus. In momento, hic valde occupatus sum propter incepta collocanda, quae cum novo socio meo in manibus habeo, tandem meminerim me mandavisse pro te mandasse secretario meo ut ATM CARD exciperet (1,500,000.00) sic sentire. cum ea libere attingas, quantum tibi sine ulla dilatione mittet.

Optime respicit,
D. Eugenius Albert.

Se vi state chiedendo cosa voglia dire questa strana mail, magari perché l’avete ricevuta anche voi, non è una prolissa formula magica di Harry Potter o una comunicazione del Vaticano: è spam, ma uno spam decisamente originale.

Il latino del messaggio contiene errori grossolani: a un certo punto, per esempio, parla di “civitatum unitarum” dopo aver citato un importo, ma è una traduzione maccheronica di “dollari statunitensi”, ma il suo senso è vagamente traducibile lo stesso se sapete il latino o se ne immettete il testo in un traduttore automatico.

In sintesi, un sedicente “Eugenius Albert” vi ringrazia per averlo aiutato a trasferire una fantomatica eredità da un paese a un altro e vuole ricompensarvi dandovi una altrettanto fantomatica tessera Bancomat sulla quale ci sarebbe un milione e mezzo di dollari di credito. Per riceverla dovete solo contattare il suo secretarium, che sta a Lome, in Togo, e si chiama Jesse Robert. Il signor Albert vi chiede di farlo via mail -- pardon, in inscriptionem electronicam.

È chiaramente un tentativo di truffa, ma resta il mistero del motivo per cui lo spammer/truffatore ha scelto il latino. Potrebbe trattarsi di un modo originale per tentare di eludere i filtri antispam, che sembra aver funzionato, visto che me ne sono arrivate parecchie segnalazioni. Potrebbe anche essere un modo per incuriosire il destinatario. In tal caso, lo spammer forse presume che l’uso del latino non sia un ostacolo, visto che chi è sufficientemente incuriosito probabilmente ha a disposizione un traduttore online per decifrare il contenuto del messaggio.

Le prime ipotesi arrivate:

“Ho una soluzione: il latino è percepito come "Lingua franca della Chiesa", no? Semplicemente si passa dal "principe Nigeriano" all'"ammanicato delle banche Vaticane" come esempio di grande ricchezza” (Bufale.net su Mastodon) 

“temo che qualcuno, nel configurare il bot, abbia invertito il parametro Latin del set di caratteri al posto del parametro italian inerente la lingua di output del traduttore automatico.” (Informapirata su Mastodon)

Sia come sia, ovviamente non è il caso di rispondere. Haec epistula electronica delenda est.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

Arrestati in Ucraina i responsabili di 18.000 truffe bancarie

L’Ucraina è al centro dell’attenzione mediatica per ben altri drammi, ma nel frattempo nel paese la polizia informatica ha messo a segno un risultato importante: ha annunciato di aver identificato e perquisito un call center criminale molto professionale, gestito da tre residenti della città di Dnipro che avevano assunto ben 37 operatori.

Gli operatori telefonavano alle vittime fingendo di essere addetti alla sicurezza bancaria e avvisandole che i loro conti correnti avevano subìto degli accessi non autorizzati. Poi chiedevano alle vittime di confermare i dati necessari per annullare le transazioni fraudolente, che in realtà non esistevano, almeno non in quel momento.

Con questa scusa, infatti riuscivano a farsi dare i codici di accesso all’home banking delle vittime e trasferivano il contenuto dei loro conti correnti su altri conti controllati dalla banda criminale e situati all’estero.

Stando al dipartimento di polizia informatica ucraino, le vittime di questa singola banda sono oltre 18.000 e sono residenti in Kazakistan. Se verranno riconosciuti colpevoli, i membri dell’organizzazione criminale rischiano fino a otto anni di carcere.

Questa buona notizia è un’ottima occasione per ripassare le tecniche di difesa da truffe come questa, che avvengono continuamente e ovunque nel mondo. La prima cosa da ricordare è che il numero telefonico del chiamante che vediamo sui nostri telefonini non è affidabile: è facile da falsificare, per cui non possiamo fidarci soltanto perché il numero di chi ci chiama per avvisare di un problema sul nostro conto corrente corrisponde al numero di telefono della nostra banca o della polizia locale.

La seconda cosa da tenere presente è che richiamare la persona che ci ha chiamato per avvisarci del presunto problema non garantisce nulla, neppure se il numero che chiamiamo è un numero verde gratuito, perché questi numeri possono essere collegati a call center situati in qualunque altro paese del mondo.

Il terzo elemento al quale fare attenzione è abbastanza paradossale: questi finti servizi di assistenza clienti sono molto più veloci e solleciti di quelli reali. Non ci sono tempi di attesa, menu di opzioni da selezionare o musichette estenuanti. Questa piacevole sollecitudine ci predispone ad accettare più facilmente quello che ci viene detto.

Una volta conquistata la nostra fiducia, i truffatori fingono spesso di avere già i nostri dati sullo schermo davanti a loro e usano la loro parlantina sciolta per farceli “confermare”. Sono professionisti, fanno questo mestiere tutto il giorno e quindi sanno esattamente come indurci a dare le informazioni che servono a loro per entrare nei nostri conti.

Nel caso ucraino i criminali ottenevano le informazioni necessarie per trasferire i soldi dal conto della vittima a un conto controllato da loro, ma esistono anche altre tecniche che è opportuno conoscere per poterle riconoscere.

Per esempio, i truffatori chiamano le vittime dicendo che per sicurezza è stato assegnato a loro un nuovo numero di conto presso la stessa banca, sulla falsariga di quando viene data una carta di credito con un numero nuovo per risolvere un caso di frode, e poi chiedono alla vittima di trasferire i propri soldi al nuovo conto.

Le vittime lo fanno prontamente, perché credono che il loro conto sia stato violato e che il nuovo numero di conto sia invece sicuro: ma in realtà il numero di conto nuovo è stato aperto da complici dei truffatori usando documenti falsi. Non appena i soldi arrivano sul nuovo conto, i truffatori li prelevano e spariscono. Questo è uno scenario molto frequente per esempio nel Regno Unito, secondo le segnalazioni della società di sicurezza informatica Sophos, e ha una conseguenza molto spiacevole: le banche possono rifiutarsi di assistere o risarcire la vittima, perché il trasferimento di denaro è stato fatto volontariamente e usando le credenziali corrette, per cui non si tratta di furto in senso stretto.

Conviene insomma essere molto prudenti di fronte a qualunque chiamata inattesa di questo genere, ed è anche opportuno mettere in guardia contro queste truffe le persone particolarmente vulnerabili che conosciamo, ricordando loro che questi truffatori sono esperti nella persuasione e che la migliore difesa è semplicemente chiudere la chiamata e contattare subito una persona di fiducia.

Europol blocca truffa internazionale sulle criptovalute

Europol ha annunciato che l’11 gennaio scorso ha bloccato vari call center criminali situati in Bulgaria, Serbia e Cipro, specializzati nelle truffe basate sui falsi investimenti con criptovalute, e ha eseguito 15 arresti e 22 perquisizioni, interrogando 261 persone.

I paesi presi di mira da questi criminali erano principalmente Germania, Svizzera, Australia e Canada, e la stima iniziale del maltolto indica un importo complessivo di almeno due milioni di euro, ma Europol sospetta che i guadagni illeciti di questi gruppi criminali “possano essere dell’ordine delle centinaia di milioni di euro.”

Le tecniche usate da questi truffatori sono classiche: creano e pubblicizzano su Google, nei social network e anche su YouTube dei siti web nei quali offrono investimenti in criptovalute, proponendo un importo di ingresso molto modesto, e poi simulano che gli investimenti diano un rendimento, documentato – si fa per dire – da estratti conto online totalmente inventati.

Le vittime credono che i loro guadagni siano reali anche perché se chiedono di ritirare una quota dei loro investimenti ricevono davvero l’importo richiesto, che però non è mai la cifra intera, compresi i presunti guadagni, ma è solo una parte del denaro in criptovalute che hanno affidato ai truffatori.

Tutto questo crea uno stato di euforia e sicurezza nelle vittime, e qui scatta la seconda fase della trappola: i truffatori invitano a investire cifre più consistenti. Usano frasi del tipo “Quando hai investito per prova 150 euro, hai quasi raddoppiato il tuo investimento! Pensa se tu ne avessi investiti 1500, o 15.000!”. E così spesso le vittime inviano altri soldi ai truffatori.

Può capitare che le persone cadute nella trappola diventino a loro volta reclutatori di altre vittime. Molti di questi siti truffaldini di finto “trading in criptovalute”, infatti, danno premi e incentivi a chi trova altre persone disposte a inviare denaro nella speranza di grandi guadagni.

Tutto questo meccanismo prosegue finché un numero consistente di vittime non si insospettisce e comincia a chiedere di riavere le somme investite: a quel punto di solito i truffatori chiudono tutto e scappano con i soldi.

Ma non è detto che finisca tutto così: esiste infatti anche una terza fase. I truffatori non interrompono i contatti con le vittime che chiedono la restituzione delle criptovalute affidate, ma dicono che l’accredito è temporaneamente bloccato per ragioni fiscali o per un’ispezione delle autorità locali, come è capitato in un caso che ho seguito personalmente poche settimane fa, e spiegano che per sbloccarlo occorre versare il più presto possibile una percentuale dell’importo a titolo di ritenuta fiscale. È tutto inventato, con lo scopo di attribuire la colpa della mancata restituzione a qualcun altro e sviare eventuali sospetti.

Prima o poi le vittime si rendono conto che si tratta di scuse, ed è a questo punto che, con sfacciataggine incredibile, scatta la quarta fase. Dopo un periodo di silenzio, nel quale i truffatori non si fanno più sentire e la vittima teme di aver ormai perso per sempre i propri soldi, si fa viva una persona che dice di rappresentare un “servizio di recupero criptovalute” e propone di tentare il recupero del denaro dato ai truffatori dalla vittima. Naturalmente questo servizio ha un costo, che va pagato in anticipo, ma è semplicemente una truffa nella truffa.

Sì, le forze di polizia internazionali a volte riescono davvero a recuperare criptovalute sottratte fraudolentemente, ma quando lo fanno non contattano le vittime via mail o sui social network: usano canali di contatto ufficiali e certificati (e non chiedono soldi per intervenire). Il problema è che le vittime spesso a questo punto sono talmente disperate, perché magari hanno perso i risparmi di una vita, che si attaccano a qualunque filo di speranza, e i truffatori procedono senza pietà ad approfittarne.

L’intervento delle forze di polizia coordinate da Europol ha messo fine alle attività di questa organizzazione criminale, ma altre continuano a esistere e tendere trappole, per cui è meglio restare vigili con alcune semplici precauzioni.

Prima di tutto, se un’offerta suona troppo bella per essere vera, probabilmente non è vera. Capita davvero che chi ha fatto investimenti in criptovalute ottenga grandi guadagni, ma questo avviene perché il controvalore delle criptovalute a volte sale, non perché un sito Web dice di avere un “sistema di trading” o cose del genere.

In secondo luogo, il fatto che un sito Web abbia un aspetto professionale e sia pubblicizzato vistosamente su Google e nei social network non garantisce in alcun modo che sia affidabile. Creare questi siti e pubblicizzarli è facile ed esistono addirittura kit chiavi in mano per farlo.

Come terzo consiglio, attenzione agli amici che vi propongono insistentemente investimenti sicuri dicendo che loro li hanno fatti e stanno guadagnando grandi cifre: chiedete come hanno scoperto questo sistema, che controlli hanno fatto per vedere che reputazione ha l’organizzazione alla quale si sono affidati, e se hanno già provato a incassare tutto quello che hanno investito, guadagni compresi. Purtroppo i truffatori fanno pressione sulle vittime affinché trovino altre persone, e non esitano a sfruttare le amicizie o ad accusare gli “scettici” di volervi impedire di avere successo. Sono disposti a mettervi contro la vostra stessa famiglia pur di convincervi a dare loro i vostri soldi.

Fonti aggiuntive: Sophos, Bitdefender.

Speranze per le vittime di ransomware: rilasciato il decrittatore gratuito per MegaCortex

Se siete stati colpiti da un attacco informatico di tipo ransomware che vi ha bloccato tutti i dati chiedendo un riscatto per darvi la password necessaria per sbloccarli e il programma usato per l’attacco si chiama MegaCortex, o se conoscete qualcuno che si trova in questa situazione, c’è una buona notizia: gli esperti della società di sicurezza informatica Bitdefender hanno rilasciato un cosiddetto decrittatore universale per questo software.

MegaCortex ha iniziato a fare danni nel 2019 ed era diventato talmente diffuso e pericoloso, con almeno 1800 casi che avevano coinvolto principalmente aziende, che l’FBI aveva diffuso un avviso specifico in proposito.

I creatori di MegaCortex sono ignoti ma a quanto pare sono fan della serie di film Matrix: il nome MegaCortex sembra ispirato da quello della società di software presso la quale lavorava il personaggio interpretato da Keanu Reeves, ossia la MetaCortex, e il messaggio che compariva sui computer attaccati citava alcune battute dei film, con frasi come “Noi possiamo solo mostrarti la porta, ma sei tu quello che deve attraversarla”. 

Ma Bitdefender, in cooperazione con Europol, il progetto NoMoreRansom e la polizia cantonale del canton Zurigo hanno rilasciato un software gratuito che sblocca i file bloccati da MegaCortex senza aver bisogno della password e quindi senza dover pagare i criminali. Le istruzioni per scaricarlo sono sul sito di Bitdefender. Inoltre alcuni dei criminali che usavano MegaCortex e altri ransomware sono stati arrestati a ottobre 2021.

Se venite colpiti da un attacco di ransomware, insomma, vale sempre la pena conservare una copia completa dei dati che sono stati bloccati e cifrati dall’attacco, perché capita spesso che a distanza di qualche mese venga rilasciato uno strumento gratuito di decifrazione che permette di riavere i dati. Ma come sempre, la prevenzione è meglio della cura, per cui fate una copia di scorta dei vostri dati e tenetela in un luogo sicuro e fisicamente isolato da Internet. 

Fonte aggiuntiva: Graham Cluley.

Nota: alcuni dettagli di questo articolo sono stati modificati rispetto alla realtà per esigenze di narrazione e per proteggere le identità delle persone coinvolte. La sostanza tecnica dell’articolo è inalterata. Questa è una versione estesa del testo del podcast del 16 dicembre 2022. Pubblicazione iniziale: 2022/12/11 10:51. Ultimo aggiornamento: 2022/12/22 12:40.

Intendiamoci subito: un crimine è un crimine e come tale va condannato. Una persona ha perso parecchi soldi a causa della truffa che sto per raccontarvi. Ma la sfacciataggine e la spavalderia della tecnica usata dal criminale sono sorprendenti e confesso di avere un piccolo moto di ammirazione per l’astuzia di chi l’ha concepita e messa in atto. In ogni caso, questo tipo originale di trappola informatica può essere un pericolo per molti, soprattutto nel periodo natalizio.

---

Questa storia inizia con una telefonata. Una persona mi chiama chiedendo aiuto per risolvere una truffa: ha usato il proprio conto PayPal, sul quale aveva accumulato del denaro, per inviare a se stessa circa duemila franchi, dando ordine a PayPal di versarli sul suo conto Postfinance (la versione svizzera di un conto corrente presso l’ufficio postale), ma i soldi non sono mai arrivati.

Non ci sono indicazioni che il suo computer sia stato attaccato o che qualcuno abbia avuto accesso al suo conto PayPal, e l’ipotesi che qualcuno sia riuscito a dirottare il suo trasferimento di denaro mentre era in transito sembra tecnicamente improbabile. Frodi o errori da parte di PayPal o di Postfinance sembrano ancora più implausibili. La vittima dice di essere sicura di essere entrata direttamente nel proprio account PayPal e di aver dato le proprie credenziali al sito originale, per cui è da escludere un phishing (furto di credenziali effettuato inducendo la vittima a visitare un sito che ha lo stesso aspetto di quello autentico ma è gestito dai criminali) o un man in the middle (intercettazione delle comunicazioni della vittima con il sito autentico).

Sembra un mistero irrisolvibile, ma come mi capita spesso in situazioni come questa chiedo alla vittima di descrivermi in dettaglio i passi che ha compiuto, mentre io li ripercorro usando il mio conto PayPal come ambiente di prova. 

La vittima mi racconta che è entrata nel proprio conto e ha cliccato sull’opzione di invio denaro nella pagina principale, etichettata Send money nella versione in inglese del sito. 

Lo faccio anch’io, e sul monitor del computer mi compare appunto l’opzione di inviare denaro, bene in vista al centro della schermata:

La vittima mi spiega che a questo punto ha cliccato su Send money, visto che doveva inviare del denaro, e ha digitato Postfinance nella casella di ricerca del destinatario. 

Ripeto i suoi passi, e quindi clicco su Send money. Mi compare la casella di ricerca nella quale, appunto, si cerca il nome dell’utente al quale inviare denaro:

In questa casella digito Postfinance, come ha fatto la vittima, e mi compare sullo schermo l’account di nome Postfinance.

La vittima mi spiega che ha cliccato su questo account e ha immesso la cifra da inviare, cliccando poi sul pulsante di invio. Da quel momento non ha più visto i propri soldi.

Provo a farlo anch’io, con un importo simbolico di un centesimo, ma mi trattengo dal cliccare sul pulsante Send Money Now.

Avete capito come si è svolta la frode?

Vi lascio un po’ di tempo per pensarci. Scrivete la vostra soluzione nei commenti, se vi va.

---

ALLERTA SPOILER: La soluzione

La vittima ha commesso un errore abbastanza comprensibile: ha usato la funzione Send money invece di quella giusta, che ha un nome molto simile, ossia Transfer money. 

In questo modo la vittima, invece di mandare i soldi al proprio conto Postfinance (che va preventivamente registrato fra i conti destinatari autorizzati), ha mandato i soldi a un truffatore che ha avuto l’idea semplice e geniale di creare un account di nome Postfinance e ha avuto la spavalderia di confidare che PayPal non avrebbe fatto alcun controllo significativo sui nomi degli account. E ha avuto ragione.

La vittima, poco pratica di PayPal e presa dalla fretta perché era in partenza per un viaggio, ha pensato che scegliendo Postfinance gli automatismi di PayPal avrebbero dedotto dai dati del mittente a quale conto andassero inviati i soldi. L’errore iniziale è stato suo, certo, ma è stato facilitato dall’ambiguità fra inviare denaro e trasferire denaro e soprattutto dal fatto che PayPal non sta facendo nulla di efficace per evitare queste truffe: infatti ospita numerosissimi account che hanno nomi o nickname palesemente ingannevoli.

Grazie anche alle segnalazioni dei lettori nei commenti qui sotto e su Mastodon, è infatti emerso che fra gli utenti di PayPal, oltre a Postfinance (con tanto di pratico e ingannevolissimo link rapido Paypal.me/postfinance), ci sono account che hanno nickname sfacciatamente fraudolenti, come Poste Pay, Poste Italiane, Credit Lyonnais American Express, Paypal Banque, Banca Bancomer, Banca Comercial Mexicana, Banca Intesa, Intesa Sanpaolo, Banca Sella o Mastercard Crédit Mutuel, insieme a tantissime persone che a quanto pare di nome o cognome fanno proprio Mastercard e a qualcuno che ha la curiosa sorte di chiamarsi Visa Mastercard o Debito Mastercard.

Si capisce che sono account fraudolenti e non intestati alle istituzioni finanziarie legittime dal nome indicato in piccolo dopo la chiocciolina, che non c’entra nulla con quello dell’istituzione: dubito, per esempio, che Poste Italiane abbia aperto un account usando il nome utente @filomenapolito93.

La vittima è ora in disputa con PayPal per tentare di farsi restituire la somma, ma nel frattempo è importante prevenire che ci siano ulteriori vittime. Ho già avvisato il servizio antiphishing di PayPal, che secondo la guida online è raggiungibile inviando una mail a phishing@paypal.com.

In caso di sospettata frode, la guida online di PayPal raccomanda inoltre di contattare il servizio antifrode dell’azienda usando la pagina apposita (www.paypal.com/disputes/), ma questa pagina funziona solo se c’è stata una transazione fra vittima e presunto truffatore. Così ho mandato un centesimo al falso Postfinance: questo mi ha consentito di venire a sapere quale indirizzo di mail è associato all’account. È thierrybarthtiti113@gmail.com, e PayPal stessa ammette che l’account non è verificato.

Ho inviato a Paypal questa mail dal mio account presso la RSI:

Dear Sirs,

I am a journalist working for Swiss National Radio and TV.

I would like to report a fraudulent account on your service. The account is called "@Postfinance". It is impersonating the Swiss Post Office, but it is associated with the email account thierrybarthtiti113@gmail.com.

This account has already scammed someone, who contacted me to report the scam.

I am writing an article on PayPal fraud management, reporting this specific instance.

I would like to suggest that you block this "@Postfinance" account immediately. As a general rule, perhaps you could consider a filter that prevents or at least flags accounts that use well-known company names without verification.

Sincerely,
Paolo Attivissimo

Lugano, Switzerland

Adesso vediamo che succede. Personalmente trovo assurdo e inaccettabile che PayPal non effettui nessun controllo sui nomi o nickname scelti dagli utenti, filtrando almeno quelli che contengono parole chiave evidenti come bank, banque, credit, debit, poste, card.

Nel frattempo, posso solo segnalare pubblicamente questo problema e raccomandare a tutti di fare tanta, tanta attenzione ai dettagli quando si invia denaro via Internet e di farlo solo quando si può agire senza fretta, senza distrazioni e senza ansie. 

---

2022/12/22. Ricevo dalla vittima e segnalo con piacere la notizia che PayPal ha rimborsato l’intera cifra. L’account ingannevole, tuttavia, è ancora presente su PayPal.

Lo scambaiting è l’arte informatica di prendere in giro i truffatori online facendo leva sulla loro avidità. Questi truffatori senza scrupoli telefonano alle persone vulnerabili spacciandosi per l’assistenza tecnica di Microsoft o per qualche altra autorità, mettono in ansia la vittima dicendo che il suo computer sta disseminando virus e causando danni, e si offrono di risolvere il presunto problema. Con questa scusa entrano nel computer della vittima e lo infettano oppure si fanno pagare per il servizio di falsa assistenza tecnica.

Ma ci sono persone che si sostituiscono a queste vittime, chiamano i numeri di telefono dei truffatori e dialogano con loro, fingendosi ingenui e facendo perdere loro tanto tempo con mille scuse e altrettanti pretesti: sono appunto gli scambaiter. Il termine significa grosso modo “persona che fa da esca per un truffatore”. I truffatori, allettati dall’idea di aver trovato una vittima da spennare, sono disposti a sopportare enormi perdite di tempo e non si rendono conto di essere presi in giro. 

Questa tecnica riduce il tasso di efficacia dei truffatori tenendoli impegnati invano, ma ha un difetto: anche lo scambaiter deve investire altrettanto tempo. Per mantenersi e avere quel tempo libero, molti scambaiter creano canali YouTube nei quali pubblicano le registrazioni delle loro attività, che sono spesso ricche di momenti divertenti, e quindi monetizzano attraverso le pubblicità il tempo che investono.

Uno di questi scambaiter e YouTuber, che si fa chiamare Kitboga e opera dagli Stati Uniti, dice di aver trovato una soluzione che riduce moltissimo il tempo che deve dedicare al contrasto dei truffatori; usare un software di intelligenza artificiale per creare un chatbot vocale, ossia una sorta di interlocutore virtuale che converte in testo quello che viene detto dal truffatore al telefono, ne estrae le parole chiave e genera un testo di risposta pertinente, che viene letto e intonato dalla sintesi vocale.

 In altre parole, il truffatore dialoga con un computer ma ha l’impressione di essere alle prese con una vittima in carne e ossa. In questo modo il computer può passare ore a tenere in ballo il truffatore mentre lo scambaiter fa tutt’altro.

Stando a Kitboga, che al momento non ha fornito documentazione a supporto dei suoi video nei quali mostra la sua intelligenza artificiale all’opera, il suo software è in grado di far perdere quantità industriali di tempo ai truffatori, attingendo a un repertorio di scuse esasperanti, come per esempio fingere di non aver capito cosa è stato detto o chiedere insistentemente di parlare con un superiore, ed è capace di convincere i truffatori addirittura a dargli le loro coordinate bancarie. Gli imbroglioni, infatti, credono di aver a che fare con una vittima ingenua che è pronta a mandare loro dei soldi, e quindi devono fornire delle coordinate per il versamento.

Una volta ottenute le coordinate bancarie, Kitboga dice che le segnala agli esperti antifrode delle banche, che provvedono a bloccare i conti, ostacolando così le attività criminali dei truffatori. I suoi video sono divertenti, perché mostrano quanto i malviventi siano accecati dalla propria avidità e siano così ansiosi di mettere a segno il loro reato da sopportare conversazioni lunghissime ed estenuanti senza rendersi conto che stanno parlando con un programma automatico o con un burlone.

Comunque stiano le cose nel caso specifico, l’idea di creare un software di intelligenza artificiale che tenga impegnati i truffatori e riesca a farsi dare da loro le coordinate dei loro conti, per poi farli bloccare, è molto interessante e potrebbe contribuire a scoraggiare questo tipo di crimine rendendolo troppo oneroso e stressante. Perlomeno fino al momento in cui anche i truffatori si equipaggeranno con intelligenze artificiali da usare al posto dei telefonisti in carne e ossa.

Nel frattempo, queste truffe continuano a colpire vittime reali in tutto il mondo, per cui se ricevete chiamate da persone che dicono di rappresentare l’assistenza tecnica di Microsoft o di qualunque altro nome noto del settore e vi chiedono di dare dei comandi al vostro computer, non fatelo e riagganciate subito. E fate sapere anche ai vostri familiari e colleghi dell’esistenza di queste truffe, in modo che siano pronti a reagire correttamente quando verranno presi di mira dai criminali.

Pubblicazione iniziale: 2022/09/15 9:41. Ultimo aggiornamento: 2022/09/15 11:45.

9:41. Il profilo ufficiale del Ministero della transizione ecologica italiano (https://twitter.com/MiTE_IT/) al momento in cui scrivo ha questo aspetto:

Promuove una truffa basata sulle criptovalute: lo schema è quello classico del “fidati di me che sono famoso, dammi la tua criptovaluta e te la restituisco moltiplicata”. Infatti l’account Twitter rubato ora si fa chiamare Vitalik.eth, come quello autentico di Vitalik Buterin, fondatore della criptovaluta Ethereum, e mostra la sua foto; inoltre il sito reclamizzato nei tweet, ethmerges[.]blogspot.com, dice proprio “To participate you just need to send from 0.5+ ETH to 500+ ETH to the contribution address and we will immediately send you back from 1+ ETH to 1000+ ETH (x2) to the address you sent it from.”

Inutile dire che la criptovaluta data a questi truffatori non verrà mai restituita.

Fate attenzione a truffe come questa, nelle quali il truffatore prende il controllo di un account molto conosciuto e addirittura autenticato con il bollino blu, per poi offrire i propri “servizi” ai numerosi follower dell’account. E fate attenzione anche agli sciacalli, che dicono di essere in grado di aiutarvi a recuperare il maltolto o consigliano qualcuno che lo è: vorranno essere pagati per il tentativo di recupero, che ovviamente fallirà e resterete doppiamente fregati. Uno di questi sciacalli è già comparso nei commenti alla mia segnalazione su Twitter.

L’account del Ministero è così almeno dalle 8.37 italiane di stamattina, ora del primo tweet del truffatore.

---

11.05. Sembra che il controllo dell’account del Ministero sia stato ripreso: alcuni tweet promozionali del truffatore sono stati rimossi e il profilo sta riprendendo il suo aspetto normale.

11.45. Intanto Repubblica (copia permanente), Rainews (copia permanente) e Fatto Quotidiano (copia permanente) scrivono fandonie sulla vicenda spacciandole per notizie, addirittura accusando pubblicamente Buterin di un reato informatico che non ha commesso (e fra l’altro Buterin è russo di origini ma naturalizzato canadese). Il tweet di Angelo Bonelli è archiviato qui. 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.