Questo articolo è disponibile anche in versione podcast audio.

Capita sempre più spesso di fare riunioni e incontri in videoconferenza, a distanza, e anche i colloqui di lavoro, per selezionare candidati per un impiego, stanno vivendo la stessa tendenza ad avvenire online invece che di persona. Ma l’FBI ha pubblicato un avvertimento che segnala un aumento parallelo dell’uso di dati personali rubati e di deepfake, ossia di immagini video false generate in tempo reale, nell’ambito di questi colloqui. In pratica il candidato si spaccia per qualcun altro e mostra, durante il colloquio, immagini di un volto che non è il suo o fa sentire la voce di qualcun altro.

I colloqui di lavoro falsificati, dice l’agenzia statunitense, riguardano offerte per impieghi che verranno svolti da remoto o da casa, per cui è possibile che il datore di lavoro non incontrerà mai di persona il lavoratore. In particolare, questi colloqui deepfake avvengono quando il lavoro riguarda il settore informatico e darà quindi accesso a dati personali di clienti, dati finanziari, database aziendali o informazioni tecniche confidenziali.

Questo suggerisce che il movente di queste falsificazioni sia l’accesso fraudolento a questi dati preziosi, spesso a scopo di spionaggio o sabotaggio, come segnalato anche da altre agenzie governative statunitensi a maggio scorso.

Alcuni stati, secondo queste segnalazioni, stanno formando numerosi informatici che poi fingono di risiedere in paesi fidati usando VPN e documenti d’identificazione rubati, usando vari software per alterare voce e video per sembrare affidabili e rassicuranti nei colloqui di selezione fatti attraverso le normali piattaforme di offerta e ricerca di lavoro, e si fanno assumere dalle aziende per poi trafugarne dati o facilitare intrusioni da parte di loro complici.

L’FBI, le altre agenzie statunitensi e gli esperti del settore raccomandano alcune semplici verifiche. I dettagli della storia personale del candidato, come per esempio gli studi svolti, il luogo dove dichiara di risiedere, sono coerenti? Cosa succede se lo si chiama a sorpresa in videochiamata? Come reagisce alla proposta di spedire un plico all’indirizzo che ha dichiarato sui documenti che ha fornito? Se si tratta di un impostore, queste situazioni lo metteranno in seria difficoltà.

Le autorità e gli esperti segnalano anche alcuni trucchi per riconoscere un deepfake video o fotografico durante una videochiamata: per esempio, i gesti e i movimenti delle labbra della persona che si vede in video non corrisponderanno completamente al parlato. Oppure suoni inattesi, come un colpo di tosse o uno starnuto, non verranno falsificati correttamente dai programmi per creare deepfake in tempo reale.

L’MIT Media Lab ha creato una guida e un sito, Detect Fakes, che consente a ciascuno di valutare la propria capacità di riconoscere immagini personali falsificate e consiglia altri trucchi per rivelare una falsificazione: per esempio, guardare le guance e la fronte della persona che appare in video, perché se la pelle di queste zone è troppo liscia o troppo rugosa rispetto al resto del volto è probabile che si tratti di un falso. Si possono anche guardare le ombre della scena, che spesso nei deepfake non sono coerenti, oppure gli occhiali, che spesso hanno riflessi eccessivi, o ancora la barba o le basette o i nei, che i deepfake sbagliano facilmente. Un altro trucco è guardare fissa la persona negli occhi per vedere se sbatte le palpebre o no: anche questo è un errore frequente dei software che alterano il volto.

Cimentatevi, insomma, con il test dell’MIT Media Lab, che trovate presso detectfakes.media.mit.edu. Fra l’altro, saper riconoscere un video falso potrebbe servirvi anche fuori dell’ambito di lavoro, dato che anche molti truffatori online in campo privato usano queste stesse tecniche per fingere di essere persone seducenti e corteggiatrici per poi spingere le vittime a mostrarsi in video in atteggiamenti estremamente ricattabili.

Fonti aggiuntive: Gizmodo, Graham Cluley, Gizmodo.

La società di sicurezza informatica Bitdefender ha pubblicato un’analisi di una truffa informatica bancaria che spiega bene una delle perplessità ricorrenti di chi, per sua fortuna, non ha mai subìto un reato di questo genere: come fa la gente a cascarci? In particolare, come è possibile che i truffatori riescano a convincere le vittime a installare volontariamente i programmi che poi saccheggeranno i loro conti correnti?

L’analisi parte da un attacco specifico in corso in Europa, che si basa sull’installazione di un’app truffaldina, un trojan bancario denominato FluBot, sui telefonini delle vittime. Se la vittima non installa l’app, la truffa non può scattare.

I criminali che gestiscono FluBot usano una tecnica particolare, chiamata smishing: iniziano mandando un SMS che annuncia che è disponibile un messaggio vocale riguardante l’invio di un pacco. L’SMS offre un link cliccabile per ascoltare il messaggio. 

Ma se la vittima clicca sul link, le viene proposto di installare un’apposita app di gestione dei messaggi vocali, e quest’app non proviene dallo store ufficiale Android, ossia Google Play. Questo dovrebbe mettere in allarme la vittima, ma spesso prevalgono la curiosità di scoprire cosa c’è nel presunto messaggio vocale e l’ignoranza del rischio.

Sui telefonini Android, oltretutto, è sufficiente accettare l’installazione da fonti sconosciute per dare il via libera all’app. La fonte è in realtà la banda di truffatori, e l’app ha un’icona che sembra indicare che serva per ascoltare messaggi vocali, ma non è così: serve per rubare informazioni bancarie.

I truffatori scelgono di mascherare l’app truffaldina spacciandola per un’app per messaggi vocali per un motivo ben preciso: l’app chiederà alla vittima il permesso di accedere alla rubrica telefonica e ad altre informazioni sensibili, e la vittima probabilmente ci crederà perché pensa che sia un’app di messaggistica e quindi è logico che debba accedere alla rubrica.

Se la vittima concede i permessi, l’app maligna raccoglierà l’elenco dei contatti e manderà SMS a tutti i contatti della vittima, cercando nuovi bersagli da attaccare, intanto che acquisisce le informazioni sulle carte di credito, le credenziali di accesso e altri dati ancora e usa i privilegi di accessibilità per rendere difficile disinstallarla.

In altre parole, i criminali creano una situazione di curiosità nell’utente e fanno leva su quella, e sulla scarsa conoscenza della sicurezza informatica, per convincere la vittima a installare il trojan.

Bitdefender nota che l’attacco colpisce sia gli utenti Android, sia gli utenti Apple; ma nel caso degli iPhone non c’è un meccanismo per proporre all’utente l’installazione dell’app truffaldina, per cui scatta il Piano B dei criminali: se il telefonino attaccato è un iPhone, gli SMS lo porteranno a una serie di siti che tenteranno di rubare credenziali e cercheranno di attivare abbonamenti-truffa.

La soluzione più semplice a questo tipo di attacco è non cliccare mai sui link negli SMS e non installare mai app di provenienza incerta; e se si usa un telefonino Android, dotarlo di un antivirus.

L’esperto informatico Graham Cluley segnala in particolare due casi di tentata truffa legati all’invasione russa dell’Ucraina.

Il primo caso è una mail che finge di provenire da donne ucraìne che offrono di mostrare le proprie grazie in chat a pagamento. Andando a controllare il sito che organizza il servizio emergono rimpalli da un sito a un altro e soprattutto strane condizioni contrattuali, fra le quali spicca il fatto che il foro competente per eventuali controversie legali sarebbe quello di Frankfort, nel Kentucky, un po’ lontano dal teatro del conflitto. 

Non c’è modo di verificare che le donne in questione siano realmente ucraìne o che i soldi spesi in questa maniera arrivino effettivamente alle persone in difficoltà in Ucraina. La situazione drammatica di questo paese sembra essere semplicemente la leva emotiva che viene sfruttata in questo momento dai truffatori, per cui consiglio di essere particolarmente cauti di fronte a questo tipo di offerte.

Tenete presente, inoltre, che ci sono truffatori che non si limitano a questo tipo di inganno, ma vanno ben oltre, invitando le vittime a chat gratuite che diventano ben presto bollenti. Il loro obiettivo, in questo caso, è convincere le vittime a esibirsi personalmente in video, usando la tecnica del “se mi fai vedere qualcosa tu, ti faccio vedere qualcosa anch’io”, e poi ricattarle minacciando di pubblicare il video della chat, magari mandandola specificamente agli amici o al partner sentimentale, i cui nomi vengono facilmente trovati dai ricattatori grazie alle informazioni che le persone pubblicano sui social network.

L’informatico Graham Cluley segnala anche un altro tipo di truffa, nel quale una mail inviata da un sedicente “Esercito dell’Ucraina” chiede sostegno economico e dice che la Banca Nazionale dell’Ucraina ha aperto un conto speciale per la raccolta di fondi, anche tramite criptovalute come i bitcoin.

La cosa strana è che il link presente nella mail (copia su Archive.org) porta davvero al sito reale della Banca Nazionale dell’Ucraina, specificamente alla sua pagina che annuncia realmente l’apertura di un conto speciale a sostegno delle forze armate ucraine, proprio come dice la mail truffaldina, ma c’è un trucco.

In altre parole, i truffatori stanno approfittando di una notizia reale, e del buon cuore delle persone, per imbrogliare. 

Per fortuna sembra che per ora l’imbroglio stia andando maluccio: dato che il registro delle transazioni delle criptovalute è pubblico, possiamo sapere quanti soldi sono passati dal wallet usato dai truffatori. Al momento ammontano a circa 279 dollari, versati ai criminali da otto vittime.

Fate attenzione, e se volete fare donazioni, rivolgetevi soltanto a intermediari conosciuti e affidabili; non fidatevi dei link ricevuti via mail o tramite WhatsApp e simili.

Questo articolo è disponibile anche in versione podcast. Ultimo aggiornamento: 2022/02/18 13:25.

All’inizio sembra la classica storia di phishing bancario: un truffatore crea un sito Web che somiglia a quello di una banca, manda una raffica di SMS a casaccio che sembrano comunicazioni di allarme di quella banca e contengono un link al sito del truffatore, e poi aspetta che le vittime che hanno ricevuto quell’SMS e sono per pura coincidenza correntiste di quella banca cadano nella trappola, cliccando sul link, visitando il sito e immettendovi le proprie credenziali di accesso ai rispettivi conti bancari.

Di solito queste storie si concludono tristemente, con un truffatore che svuota i conti bancari delle vittime. Ma stavolta non è così.

Tutto è iniziato il giorno di San Valentino, quando Giulio (@_anziano_ ) mi ha mandato un tweet avvisandomi che aveva ricevuto un SMS che sembrava provenire da una banca (il mittente apparente era CartaBCC) e conteneva un messaggio di allarme: “Abbiamo sospeso temporaneamente la sua utenza si prega di compilare il seguente modulo anagrafico per riattivarla. http://pay-stub.com/relax”.

Giulio non è caduto nella trappola: anche se il messaggio era confezionato in modo da ingannare, con quel mittente falsificato, e creare ansia all’idea del blocco del conto corrente, il link contenuto nell’SMS era chiaramente sospetto per chiunque lo esaminasse a mente fredda. Infatti Pay-stub.com non sembra proprio un nome da sito bancario.

“Che faccio? Compilo?” mi ha chiesto ironicamente Giulio. 

Visitando il link con le opportune precauzioni ho visto che il falso sito bancario era ancora attivo e conteneva la schermata di richiesta credenziali di una nota banca italiana.

La cosa era piuttosto sorprendente, dato che di solito questi siti-truffa vengono identificati e rimossi dalle autorità nel giro di poche ore, ma il bello doveva ancora arrivare.

Infatti il truffatore stava ancora agendo indisturbato, raccogliendo le credenziali bancarie dei malcapitati correntisti che non si accorgevano dell’inganno. Avrei dovuto quindi allertare la banca in questione e le autorità, ma mi è arrivata una segnalazione confidenziale che ha ribaltato allegramente tutta la situazione.

Una persona, che chiamerò Alex, mi ha segnalato che aveva visitato il sito del truffatore e ne aveva esaminato la struttura, che era pubblicamente accessibile. Aveva notato per esempio il contenuto del file robots.txt, che rivelava che si trattava di un sito che era stato creato con il popolare software WordPress e in realtà apparteneva a un servizio legittimo, nel quale il truffatore si era inserito abusivamente aggiungendo le proprie pagine-esca.

Alex mi ha detto inoltre di aver provato ad aggiungere al nome del sito un nome di file usato molto frequentemente, che non cito qui per prudenza, e di aver scoperto in questo modo un vero tesoro: il file nel quale il truffatore archiviava i dati immessi dalle vittime.

Ebbene sì, non tutti i criminali informatici sono professionisti infallibili: questo genio del male aveva commesso l’errore fondamentale di lasciare pubblicamente accessibile il file nel quale stava man mano registrando le credenziali delle proprie vittime: indirizzo IP, login, nome, password, numero e CVV della carta bancaria, scadenza della carta, numero di telefono. Era sufficiente conoscerne l’URL per leggerlo tranquillamente con un normale browser: https://pay-stub.com/relax/[nomefile].txt.

Ecco un campione (opportunamente oscurato) del file:

Ho provato io stesso, immettendo naturalmente dati fasulli, e puntualmente in fondo al file *.txt è comparsa una riga nuova contenente il mio indirizzo IP e i miei dati.

31.10.147.234  user -> '37803130' |  password -> 'sgomberonte' |  tel -> '' | 

Purtroppo, però, alcuni dei dati immessi da altre persone erano probabilmente reali e quindi ho contattato alcune delle vittime per avvisarle. Molte non erano al corrente della situazione e sono state giustamente sospettose nel ricevere la mia telefonata di avviso, nella quale ho spiegato chi ero e non ho chiesto dati personali ma li ho comunicati io a loro, ossia il contrario di quello che fa un truffatore: ho detto cose del tipo “Buongiorno, sono un giornalista informatico, se lei è il signor Taldeitali ed è correntista presso la Banca Cosìecosà e la sua password inizia con queste lettere, tenga presente che la sua password è stata rubata e rinvenuta in un archivio di password trafugante e le conviene cambiarla immediatamente”.

Come sempre in questi casi, non è facile raggiungere le vittime una per una, e quando le si raggiunge è molto difficile spiegare tutta la situazione. Del resto, se vi telefonasse uno sconosciuto dicendovi le vostre password bancarie, come la prendereste?

Per fortuna le pagine-trappola sono state rimosse due giorni dopo (oggi pomeriggio, insomma) e quindi i dati rubati non sono più reperibili pubblicamente. Ma ne ho conservato una copia, ed esaminandola è venuta fuori la beffa: a un certo punto molte vittime si sono accorte che si trattava di un tentativo di truffa e quindi hanno inondato il ladro di dati fasulli, rendendo praticamente inutilizzabile la raccolta di credenziali iniziata dal truffatore.

Anzi, alcune delle vittime hanno scelto di immettere dei dati apparentemente plausibili insieme a dei nomi utente o password decisamente scurrili, che non posso riferire qui, per far capire al ladro che non si erano fatte ingannare. Se il ladro conosce alcuni dialetti italiani, avrà trovato alcune descrizioni molto colorite delle attività personali di sua madre e numerosi suggerimenti pittoreschi su pratiche anatomicamente impegnative a cui poteva dedicarsi.

Ma non è finita: all’inizio del file che conteneva le credenziali c’erano anche i dati delle prove fatte dal ladro, che includevano anche il suo indirizzo IP.

Si tratta di un indirizzo IP italiano, specificamente della rete cellulare Vodafone. Ho comunicato questi dati alla Polizia Postale italiana, che a questo punto dovrebbe avere tutto il necessario per identificare l’aspirante ladro. 

----

Una volta tanto è andata bene, insomma: ma truffatori come questi compaiono tutti i giorni, per cui conviene imparare da questi incidenti a lieto fine come riconoscere i tentativi di inganno.

• Prima di tutto, non bisogna mai fidarsi dei mittenti degli SMS, perché possono essere falsificati facilmente. 
• Poi non bisogna mai cliccare sui link presenti negli SMS, specialmente se si tratta di messaggi di allarme che riguardano conti bancari o spedizioni postali o vincite inaspettate.
• Infine bisogna ricordare che nessuna banca seria allerterà i propri clienti tramite dei messaggini contenenti dei link o chiederà telefonicamente di confermare codici di accesso.

@Martinobri mi segnala un’invasione di fanciulle discinte che, nei commenti di questo blog (gestiti da Disqus), elargiscono upvote e diventano follower dei singoli commentatori.

Si tratta, ovviamente, di profili di spammer e truffatori che usano anche questi mezzucci per attirare potenziali clienti. Ecco come eliminarli.

Lasciate il mouse un istante sul numero dei like/dislike di un commento: questo fa comparire l’elenco dei profili Disqus che hanno dato giudizi a quel commento. 

Se cliccate su uno di questi profili con il tasto destro compare un menu del browser, dal quale potete scegliere di aprire il profilo in un’altra scheda del browser. Qui potete cliccare sui tre puntini sotto il profilo, sulla sinistra, e scegliere di bloccare e/o segnalare i profili che appartengono chiaramente a spammer o truffatori.

Lo schema di questi truffatori è molto semplice: far incuriosire l’utente-vittima al quale hanno dato il like/dislike e indurlo a visitare i loro profili, che contengono un link a un sito nel quale offrono (a pagamento) i loro servizi.

Purtroppo non sembra esserci un modo per impedire il fenomeno. Disqus consente di disabilitare completamente la funzione di upvote (nella sezione Community), ma soltanto se il moderatore principale (in questo caso io) ha un account Pro, che costa 105 dollari al mese (attualmente ne spendo 11 al mese per un account Plus in modo da rimuovere le pubblicità). Non mi sembra il caso.

Venerdì 4 febbraio sarò in studio in diretta alla RSI, a Patti Chiari (La 1, 21.10), nella parte in cui si parlerà del problema e degli aspetti tecnici dei “green pass” falsi che sono in circolazione anche in Svizzera, per capire meglio quale mercato hanno e come vengono generati e smerciati. Questo è il teaser della puntata.

Ultimo aggiornamento: 2022/02/02 10:55. Ringrazio tutti i lettori e commentatori che hanno contribuito e stanno tuttora contribuendo ad ampliare questo articolo.

Per ora non posso rivelare i dettagli, ma ho una sfida per voi: creare un sito dimostrativo che imiti in modo innocuo i siti truffaldini che fanno abbonare con l’inganno gli utenti ai servizi SMS Premium. Il committente è disposto a pagare.

Premessa: cosa sono gli SMS Premium e perché sono il male

Gli SMS Premium sono degli SMS a costo fortemente maggiorato: costano vari euro/franchi a messaggio inviato o ricevuto (in Svizzera un singolo messaggio una tantum può costare fino a 100 CHF; per gli abbonamenti i singoli messaggi costano di solito 5 CHF). Fanno parte dei cosiddetti servizi a valore aggiunto. Il loro costo viene addebitato direttamente sulle bollette telefoniche. Esistono in quasi tutti i paesi del mondo. In Italia, per esempio, sono descritti qui da Vodafone.

In teoria questi SMS Premium dovrebbero servire a fornire informazioni a pagamento (oroscopi, previsioni meteo, notizie) o consentire il pagamento di servizi (biglietti di trasporto, parcheggi, suonerie o contenuti erotici) su richiesta degli utenti, ma in pratica moltissimi utenti lamentano di essersi trovati abbonati a questi servizi senza aver fatto alcuna richiesta. Se ne accorgono quando trovano sulla propria bolletta degli addebiti inattesi.

Sempre in teoria, abbonarsi a questi servizi richiede due invii di SMS: uno di richiesta del servizio e uno di conferma della richiesta. Sembrerebbe quindi impossibile iscriversi agli SMS premium senza accorgersene.

Eppure succede: è successo di recente con il malware Joker, un’app pubblicata anche sul Play Store di Google, che fingeva per esempio di essere un’app di sfondi di Squid Game ma in realtà, spiega Kaspersky, è “in grado di iscrivere di nascosto le proprie vittime ai servizi in abbonamento premium simulando il processo di abbonamento”. Punto Informatico scrive che Joker agisce “[s]imulando i tocchi e intercettando gli SMS”. Un altro esempio è la famiglia di app truffaldine per Android UltimaSMS descritta da Avast (2021): la vittima viene convinta a digitare il proprio numero di telefono e poi l’app provvede ad abbonarla. Su Android le app possono inviare SMS; su iPhone no. Le app possono anche cancellare le tracce della richiesta di abbonamento.

Wired.it si è occupata della questione per l’Italia nel 2016, descrivendo l’uso del DNS e della connessione cellulare come ingredienti essenziali delle attivazioni indesiderate. 

Inoltre c’è stata una condanna dell’AGCOM a TIM per non aver “adottato con la dovuta tempestività e esaustività misure idonee a prevenire l’attivazione dei servizi premium in assenza del previo consenso degli utenti né a impedirne l’addebito anche in casi di chiara incompatibilità del servizio con l’espressione del consenso”. L’attivazione era avvenuta anche su SIM che non erano inserite in telefonini ma erano “dedicate al controllo da remoto di particolari dispositivi (es. telesorveglianza, teleallarme) e/o prive di connessione dati” (PDF). Ad agosto 2021 l’AGCOM ha multato WindTre, Vodafone e TIM per attivazione dei servizi premium senza il consenso degli utenti (HWupgrade.it).

--- 

Adesso ho per le mani una serie di casi nei quali è quasi certo che sugli smartphone delle vittime non sono state installate app ostili. È possibile che le vittime abbiano semplicemente visitato dei siti che sarebbero riusciti a simulare le azioni degli utenti, carpendo il loro numero di telefonino e mandando automaticamente gli SMS di richiesta e/o di conferma di abbonamento.

Molte compagnie telefoniche rifiutano di rimborsare questi abbonamenti ottenuti con l’inganno argomentando che a) non è possibile che l’utente non si accorga della procedura in corso b) comunque loro sono solo intermediari che forniscono il servizio per conto terzi. E questa cosa va avanti da oltre dieci anni. È un problema di cui ho già scritto in varie occasioni.

Ci si può difendere preventivamente chiedendo al proprio operatore il blocco dei servizi SMS Premium; di solito basta un SMS apposito o una telefonata gratuita all’operatore. In Svizzera le istruzioni su come procedere sono pubblicate per esempio qui da Swisscom, qui da Salt e qui da Sunrise.

Si può inoltre risalire alla società che gestisce il servizio pagato tramite gli SMS Premium usando gli elenchi dei loro numeri brevi (qui su Swisscom; qui su Salt; qui su Sunrise).

Maggiori informazioni sono qui sul sito dell'Ufficio federale delle comunicazioni (UFCOM), che include il codice di comportamento di questi fornitori di servizi e precisa che la conferma di abbonamento può essere inviata dall’utente tramite SMS, MMS o WAP. 

Per l’Italia il codice di condotta è pubblicato qui da Vodafone e l’AGCOM a gennaio 2021 ha disposto che le nuove SIM abbiano bloccati per default i servizi SMS Premium (l’annuncio di Tim.it è qui). La stessa Autorità ha anche predisposto un servizio di conciliazione per le attivazioni non volute di servizi premium.

Insomma, gli utenti sono protetti, grazie alla possibilità di bloccare questi servizi (in Svizzera) o al blocco per default (in Italia) e all’obbligo di inviare un SMS di conferma (in entrambi i paesi). Il messaggio che arriva dagli operatori è molto chiaro: se gli utenti si trovano abbonati a questi servizi SMS Premium, è solo colpa loro.

È davvero così?

La sfida: fare un sito che dimostri un abbonamento fatto di nascosto

Non c’è dubbio che si possano creare app che abbonano di nascosto gli utenti. Ma è possibile creare un sito che faccia altrettanto, senza installare nulla sul telefonino?

Il sito dovrebbe:

1. Prendere il controllo del telefonino della vittima in modo da fargli inviare un normale SMS contenente un testo preciso (per esempio “START INFO”) a un numero specifico.
2. Restando aperto sullo smartphone della vittima, riconoscere l’SMS di richiesta di conferma che le arriva. Questo SMS può anche essere visibile e salvato.
   
3. Mandare a un numero specifico un SMS che faccia da richiesta di conferma (di solito costituita semplicemente da un “SI”). Facoltativamente, questo SMS può essere cancellato.
   

Inoltre dovrebbe fare tutto questo, se possibile, senza mostrare nulla di significativo sullo schermo. 

Il sito, essendo dimostrativo, dovrà avere un nome e una grafica che ne indichi chiaramente la natura di pura dimostrazione giornalistica.

La demo da realizzare sarebbe questa:

• il telefonino-vittima (uno smartphone sacrificabile con SIM altrettanto sacrificabile) visita il sito
• manda un SMS al mio telefonino
• il mio telefonino manda un SMS al telefonino-vittima (simulando la richiesta di conferma di un abbonamento
• il telefonino-vittima risponde mandando un SMS con scritto “SI” al mio telefonino
• il tutto riducendo al minimo possibile le azioni della vittima e la visibilità di quello che sta succedendo.

In alternativa o in aggiunta, sto cercando qualcuno del settore che mi possa raccontare in dettaglio le tecniche usate per ottenere questi abbonamenti fraudolenti. Offro la garanzia giuridica dell’anonimato giornalistico.

---

    <a href="sms:numero&body=messaggio">Testo visibile</a> 
  

Ultimo aggiornamento: 2022/01/31 21:45.

Stamattina, durante una lezione a scuola a Canobbio (Canton Ticino), diversi studenti mi hanno segnalato di aver ricevuto tramite un social network (non hanno precisato quale) un messaggio privato come quello mostrato qui accanto: un invito a cliccare su un link, preceduto dalla frase “Ci ho messo circa tre ore a farlo. Spero proprio che ti piaccia” (in originale: “This took me about 3 hours to make. I really hope you like it”).

Poco dopo mi è arrivata la stessa segnalazione da un’altra fonte di famiglia.

Il link è giftshop7062 punto buzz. Dopo lo slash c’è il nome Instagram dell’utente che l’ha ricevuto. Per ora sembra essere un semplice redirect alla pagina di login di Instagram, secondo Wheregoes.

La cosa strana è che il messaggio diretto su Instagram che contiene questo invito arriva da un contatto del destinatario, come se l’account del contatto fosse infetto. Avete idee di cosa sia?

Secondo questo post sarebbe una truffa che circola da alcuni mesi, ma non mi è chiaro come funzioni. Se ne sapete di più, i commenti sono a vostra disposizione.

---

Aggiornamento: Stando alle vostre segnalazioni e a quello che ho trovato online, questo testo circola già da tempo (almeno da luglio-agosto 2021), appunto, ma legato a link differenti. Lo schema dovrebbe essere quello di un classico phishing: nelle versioni che ho visto in giro, il link porta a una falsa pagina di login che imita quella di Instagram. Ecco un esempio tratto da questo video a 3m35s:

Se la vittima immette le proprie credenziali nella falsa pagina di login, le regala ai truffatori, che prendono il controllo dell’account Instagram della vittima e lo usano per mandare automaticamente lo stesso invito-trappola a tutti i contatti presenti nella rubrica Instagram della vittima. Quei contatti ricevono l’invito in apparenza da qualcuno che conoscono e quindi tendono a fidarsi; la curiosità di vedere di cosa si tratta fa abbassare ulteriormente la guardia.

Il mio primo consiglio pratico è non cliccare sul link. Se l’avete fatto e avete digitato le vostre credenziali, cambiate password. Se avete usato la stessa password altrove, cambiatela anche lì.

Se vi siete protetti preventivamente con l’autenticazione a due fattori, come raccomando di fare da anni, non perderete il controllo del vostro account.

Il secondo consiglio è non bloccare il mittente, perché probabilmente non ha colpa ed è una vittima come voi.

Il terzo e ultimo consiglio è contattare a voce il mittente e avvisarlo che sta mandando in giro link-trappola, perché magari non se ne è reso ancora conto.

Mi capita spesso di raccontare truffe online, ma è raro che la vittima sia una persona che conosco prima che mi contatti per la truffa: stavolta, però, il bersaglio del raggiro è il collega della Rete Tre della Radiotelevisione Svizzera con il quale ho fatto tanti podcast, Alessio Arigoni. Lui stesso l’ha raccontata nel podcast di questa settimana: io la riassumo qui con alcune immagini che Alessio mi ha fornito.

Alessio è andato su Booking.com a cercare un appartamento per un breve soggiorno a Bologna, e ha trovato questa offerta di Lineron flats Bologna, in via San Felice 71 (ho alterato il link aggiungendogli “togliquesto-” per evitare di linkare il sito).

Ha risposto all’offerta, stando sempre sulla piattaforma Booking.com, e ha prenotato, senza anticipare denaro. Ha ricevuto correttamente la mail di conferma da Booking.com.

Poco dopo gli è arrivato tramite WhatsApp un messaggio che gli ha riepilogato in inglese i dettagli della sua prenotazione (indirizzo, date, numero degli alloggiati, prezzo) e gli ha chiesto conferma della correttezza di questi dati.

La persona ha proseguito dando istruzioni dettagliate per il ritiro delle chiavi, stavolta in italiano, e ribadendo che il pagamento dell’appartamento “viene effettuato solo online tramite booking.com a causa del covid-19” e spiegando il funzionamento del “modulo di caparra”:

Poi ha inviato ad Alessio un link per il modulo di caparra, ma ha misteriosamente iniziato a scrivere in spagnolo. Ovviamente a questo punto Alessio si era già insospettito e questo ulteriore cambio di lingua gli ha confermato che qualcosa non quadrava e che stava comunicando con un truffatore.

Il link del fantomatico “modulo di caparra” portava a un sito che non è affatto il vero Booking.com ma è visualizzato come booking-eu punto id-404958.online/merchant91129291, presso il quale però si trova l’esatta prenotazione fatta da Alessio su Booking.com, con la richiesta di immettere i dati della carta di credito:

C’erano vari indizi sospetti, come il numero di telefono portoghese (l’avevate notato? Alessio ha ricevuto i messaggi WhatsApp da un numero che inizia per +351), i cambi di lingua e il link con un URL differente dal normale Booking.com, ma l’elemento che dava attendibilità a “Pavel” era appunto questa conoscenza dei dati di Alessio.

La spiegazione più probabile è questa: l’inserzione su Booking.com è gestita dal truffatore stesso. Il truffatore ha creato un alloggio inesistente su Booking.com e quindi riceve da Booking.com le informazioni sulle prenotazioni, che poi usa per contattare le vittime e dirottarle verso il suo sito-clone, nel quale le vittime immettono i dati della propria carta di credito, regalandoli così al truffatore.

In tal caso, Booking.com non avrebbe verificato l’autenticità dell’inserzione. Alessio ha segnalato la situazione a Booking, che ora mostra sulla pagina del finto alloggio la dicitura “Siamo spiacenti, al momento non è possibile effettuare prenotazioni per questo hotel sul nostro sito” ma non l’ha rimosso.

Non ci sono stati addebiti sulla carta di credito di Alessio (che è stata comunque bloccata e sostituita su sua richiesta) e tutto è finito bene, ma c’è mancato poco.

A settembre 2021 il programma Patti Chiari della RSI si è occupato di Booking.com e dell’affidabilità delle offerte presenti sul sito, trovando numerosi alloggi falsi:

Truffe di questo genere, vissute a mente serena in un racconto come questo, sembrano fin troppo evidenti e quindi molti si chiedono come possano essere efficaci. Ma quando vengono vissute sulla propria pelle i loro campanelli d’allarme spesso non suonano, e soprattutto il truffatore è libero di tentare il raggiro con tante persone, finché non trova quella giusta che abbocca. Siate vigili.

Ricevo spessissimo richieste di aiuto da persone che hanno fatto acquisti da privati conosciuti online, ne sono stati raggirati e mi chiedono aiuto informatico per ritrovarli e farsi ridare il maltolto. Questa è la mia risposta standard. Perdonate la schiettezza.

Esempio di richiesta (anonimizzata e risistemata per chiarezza):

Nel mese di giugno ho acquistato un telefono su [noto sito di acquisti fra privati] un telefono che purtroppo non è mai arrivato e questa persona ha confessato di avermi truffata.

Le informazioni che ho di questa persona sono il passaporto (falso, presuppongo) un numero di telefono e via perché il pagamento è stato fatto tramite [nota piattaforma di pagamento online].

Possiedo ancora tutte le conversazioni e ho notato che dopo di me ha pubblicato altri due annunci (su [noto sito di acquisti fra privati]) quindi immagino di non esser stata l’unica ad essere fregata da questa persona.

Sono stata in polizia a fare denuncia e non sono riusciti a dirmi nulla se non “scrivile che hai sporto denuncia e vediamo se si intimorisce e magari ti ridarà i soldi”… questo messaggio non l’ho mai scritto perché a parer mio sembra ridicolo.

Vorrei riuscire a rintracciare questa persona per por fare una denuncia vera e propria o andare di persona. Si tratta di [importo pari a varie centinaia di euro].

La mia risposta standard (personalizzata per il caso specifico, ma anonimizzata):

Buongiorno,

chiedo scusa se posso sembrare cinico, ma consiglio di lasciar perdere. Se [nota piattaforma di pagamento online] non è disposta a contestare l'addebito e rimborsare, le probabilità di poter riavere i soldi sono praticamente nulle. Mi dispiace.

I dati che le ha dato il truffatore sono quasi sicuramente falsi. Il numero di telefono è probabilmente intestato a un prestanome. Rintracciarlo è quindi sostanzialmente impossibile senza un costoso investigatore privato o un’azione di polizia; io non posso aiutarla.

Anche se si dovesse riuscire a rintracciarlo, poi che si fa? È un criminale. Affrontarlo di persona sarebbe estremamente pericoloso. Vale la pena di rischiare?

Si potrebbe segnalare a [noto sito di acquisti fra privati] il truffatore, ma non servirebbe a nulla: si tratta di un professionista, cambierà identità e numero di telefono in cinque minuti e ricomincerà da capo.

La polizia interviene raramente in casi come questi perché il costo ai contribuenti di un’indagine di questo tipo (oltretutto probabilmente infruttuosa) sarebbe largamente superiore all'importo sottratto. E andare da un avvocato per promuovere un’azione legale sarebbe molto più costoso della somma che le è stata tolta.

Mi dispiace, ma posso solo consigliare di non comprare mai più nulla da sconosciuti su Internet, specialmente per importi che non ci si può permettere il rischio di perdere. Esistono ottimi telefoni che costano molto meno di [importo pari a varie centinaia di euro] anche in negozio, dove l’acquisto è protetto e garantito dalla legge; ci sono anche quelli ricondizionati e in garanzia, che costano ancora meno. Io non ho mai speso più di [metà di quell’importo] per uno smartphone.

Cordiali saluti,

Paolo

Credit: Motherboard.

Motherboard ha pubblicato un’indagine sul fenomeno del ban-as-a-service: l’attività criminale di far bandire (o bannare) qualcuno da un social network usando l’inganno per indurre i gestori del social network a chiudergli l’account.

Il ban-as-a-service opera in questo modo: il criminale crea un profilo identico a quello del bersaglio, copiandone la foto della bio e la descrizione. Ma crea questo profilo-clone usando un profilo verificato (uno di quelli con il bollino blu), che magari ha rubato a qualcuno.

Fatto questo, il criminale segnala a Instagram l’account della vittima, accusandola di essere un impostore. Instagram, invece di controllare come stanno le cose (per esempio guardando quale dei due account è stato creato prima o ha caricato di colpo tante foto e cambiato quelle preesistenti), banna l’account della vittima.

Non è l’unica tecnica: le altre sono descritte nell’articolo di Motherboard. Ma la cattiveria dei truffatori non si esaurisce qui. Infatti capita spesso che le vittime del ban vengano contattate prontamente da qualcuno che si offre di rimettere tutto a posto, ovviamente dietro compenso. E stavolta le cifre in gioco sono decisamente più alte: dai 3500 dollari in su.

Se la vittima usa il proprio account Instagram per lavoro, trovarselo bannato è un danno economico notevolissimo, per cui capita spesso che le cifre richieste vengano pagate. Guarda caso, chi si offre di ripristinare a pagamento è in combutta con chi ha effettuato il ban.

In casi come questi, non c’è password o autenticazione a due fattori che tenga, perché questo non è un furto di account, e spetta a Instagram investigare per capire come sono andate le cose e chi è il vero impostore. Non sempre lo fa, stando all’indagine di Motherboard. Se vi capita un problema di questo genere, non vi resta che consultare il Centro assistenza di Instagram, che ha una pagina apposita per il ripristino degli account disabilitati.

Anche nelle mie caselle di mail, come in quelle di molti altri utenti, sta arrivando una raffica di messaggi che avvisano di fatture da pagare per prodotti informatici, tipicamente antivirus ma non solo.

Ecco un esempio:

Da: Billing Department amelia hil (ameliahil6987@gmail.com)

Oggetto: AQBR1421GG5#BILL

Hello Prime Customer,

Your yearly Support for NORTON SECURITY has been successfully renewed & restored.

*The debited sum will be reflected within next 24 to 48 hrs on your account record. *

*__PRODUCT INFORMATION_*

……………………………………………………………………………………………………..

Invoice No. : AQBR1421GG5

Product Name : NORTON SECURITY

…………………………………………………………………………………………………………

Order Date : 26TH AUG 2021

Expiration Date : 1 Years From The Date Of Purchase

………………………………………………………………………………………………………..

Amount : $246.027 USD

Payment Method : AUTO RENEW

………………………………………………………………………………………………

* If you wish to claim a REFUND then please feel free to Contact our Billing Department as soon as Possible.*

You can Reach us on +1 – (888) - (353) - (3213)

Regards,

Amelia Hil

Billing Department

La mail è abbastanza chiaramente fraudolenta (basta guardare il mittente, che non è aziendale), ma stranamente non contiene i soliti link da cliccare “per avere maggiori informazioni” che portano a siti-trappola. Include soltanto un numero di telefono da chiamare per chiedere un rimborso o annullamento dell’addebito. Cosa non facile, visto che si tratta di un numero statunitense e bisogna comunicare in inglese.

Il sito Scampulse spiega la tecnica di frode usata dagli autori di questi messaggi: chi chiama il numero viene messo in contatto con un truffatore che si finge impiegato del servizio clienti dell’azienda in questione e poi chiede le coordinate bancarie della vittima con il pretesto di usarle per effettuare il rimborso.

Il truffatore a volte si offre di aiutare la vittima nel procedimento online di rimborso invitandola a installare Anydesk o altre applicazioni di controllo remoto, che il truffatore userà poi per prendere il controllo del computer della vittima e spillarle soldi.

La spavalderia di questi truffatori non conosce limiti e purtroppo fa leva efficacemente sullo stato di ansia e confusione della vittima. In un caso segnalato da Scampulse, per esempio, il truffatore ha detto alla vittima che per procedere al rimborso di 600 dollari in due rate era necessario che la vittima gli desse un accesso al computer. La vittima l’ha dato, malauguratamente, ma contrariamente a quello che ci si potrebbe aspettare ha visto che gli era apparentemente arrivato un rimborso (non un addebito) di 2600 dollari. 

A quel punto il truffatore (che continuava a spacciarsi per un impiegato del servizio clienti) ha finto di avere una crisi di panico e ha detto alla vittima che aveva digitato 2600 al posto di 260 (la prima rata del rimborso) e che questo errore rischiava di costargli il posto di lavoro. Così ha chiesto alla vittima di aiutarlo mandandogli la differenza (duemila dollari) tramite carte regalo digitali, e la vittima per onestà l’ha fatto, visto che aveva ricevuto (in apparenza) più del dovuto, e così ci ha rimesso 2000 dollari e in più si è trovata con il computer violato.

La cosa più semplice da fare, se si riceve una mail di questo genere, è semplicemente cestinarla, senza telefonare (neppure per curiosità), e parlarne a parenti e amici che, non conoscendo queste truffe, potrebbero cascarvi.

Ultimo aggiornamento: 2021/08/09 9:20.

Matteo Flora ha pubblicato poco fa su Twitter questo suo resoconto dedicato alla vicenda dei “green pass” falsi offerti in vendita online. Leggete l’originale e condividetelo, visto che potrebbe educare qualcuno: lo riporto qui ripulendo alcuni refusi. Il link in fondo porta a uno dei gruppi Telegram citati.

I #GREENPASS FALSI? UNA DOPPIA FRODE! 

Può una truffa essere talmente bella da configurarsi come Arte? La risposta è sì, e la migliore è quella ai danni dei #NoVax che ha visto la luce nelle scorse ore. 

Come forse sapete i "#NoGreenPass" hanno acquistato a caro prezzo (150€-350€), su gruppi #Telegram che avete visto su tutti i quotidiani, dei documenti falsi nonostante fosse palese che i pass NON POTEVANO essere contraffatti.  

Ora si sono aggregati in gruppi di "utenti delusi" quando hanno scoperto che il FOTTUTO GENIO dietro ai gruppi non può e non vuole (ovviamente) consegnarli. Scoperto l'inghippo, vogliono indietro i soldi, altrimenti minacciano di denunciare chi glieli ha venduti.

Ma qui viene il bello: i truffatori ora hanno detto ai clienti che hanno pagato (con codice fiscale e carta d'identità) che O PAGANO un riscatto di 350€ in Bitcoin OPPURE diffonderanno i documenti online e faranno avere i nominativi dei clienti alla Polizia.

È tutto così bello da fare quasi piangere. E non so chi tu sia, impavido truffatore, ma passa che ti stendo di birre e pacche sulle spalle. #Darwin vince. Sempre. :D

go.mgpf.it/3irYKVW

La vicenda ha un seguito:

Addendum: pic.twitter.com/0rJ0Ae6bq2

— Matteo G.P. Flora (@lastknight) August 7, 2021

Addendum 2: qui i circa 6.000 dollari che hanno già fatto con l’estorsione https://t.co/woCEDHI0dL

— Matteo G.P. Flora (@lastknight) August 7, 2021

Addendum 3: il@messaggio degli Admin del canale originale: pic.twitter.com/oli1DYjXs8

— Matteo G.P. Flora (@lastknight) August 7, 2021

Addendum 4: il “nuovo” gruppo suggerisce di corrompere un medico o un farmacista. pic.twitter.com/MdV0GMd298

— Matteo G.P. Flora (@lastknight) August 7, 2021

Addendum 5: nel frattempo in 20 hanno pagato il riscatto, portando gli incassi del SOLO RISCATTO (i GP si pagavano anche in buoni Amazon) a 0.16981955 BTC (circa 7.600 dollari).https://t.co/t6FAhk0Isc

— Matteo G.P. Flora (@lastknight) August 8, 2021

Addendum 6: Il @fattoquotidiano mi cita e che percula i #NoVax è come una telenovela che continua...
(metto un po' di rassegna sulla cosa!)https://t.co/CWwBrLvBIX

— Matteo G.P. Flora (@lastknight) August 8, 2021

2021/08/09 9:20

La Polizia Postale ha avviato una retata con perquisizioni e sequestri nei confronti degli amministratori di 32 canali Telegram sui quali venivano asseritamente offerti certificati Covid digitali falsi. “Alcuni di questi canali, come «Green Pass ITA» o «Green Pass Italia Acquisto», contavano migliaia di iscritti (oltre 17mila il primo e 35mila il secondo)” (Open).

Commercio online di falsi #greenpass #COVID19#Poliziapostale sta eseguendo perquisizioni e sequestri nei confronti di amministratori di 32 canali #Telegram che mandavano messaggi promettendo invio di certificati vaccinali con cui ottenere il Green Pass #essercisempre #9Agosto pic.twitter.com/q23GpXggKJ

— Polizia di Stato (@poliziadistato) August 9, 2021

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto. Come la puntata precedente, questa è l’edizione estiva, nella quale mi metto comodo e racconto una storia sola in ogni puntata ma la racconto in dettaglio.

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

----

Questa storia inizia con tre ingredienti: uno smartphone, un cuore solitario e delle criptovalute. Uno di questi ingredienti sta per sparire in circostanze misteriose; due resteranno. Provate a indovinare quali. È importante, perché storie come questa succedono realmente e possono capitare a tutti. 

----

Pochi giorni fa Jameson Lopp, della società di sicurezza informatica statunitense Casa Incorporated, ha raccontato [link attualmente non funzionante] sul sito della società una forma di attacco informatico insolita e originale.

Uno dei clienti della società, che chiamerò Mark per comodità (non è il suo vero nome), è un single che, come tante altre persone, usa app di incontri come Tinder per conoscere altre persone. Di recente ha trovato su Tinder il profilo di un donna che si descriveva in una maniera che ha colpito la sua attenzione. Ma non nella maniera che potreste immaginare. Citava semplicemente due parole nella descrizione della propria professione: crypto trader.

Un crypto trader è una persona che fa compravendita di criptovalute: bitcoin, ma non solo. È un mestiere abbastanza raro e Mark è stato attratto dal fatto che la donna, che chiamerò Sara (anche qui, non è il suo vero nome), lo svolgesse, visto che anche lui è un crypto trader.

Così Mark ha contattato la donna su Tinder, dicendole che anche lui era del mestiere; gli sembrava un buon aggancio di conversazione, un interesse comune di cui discutere.

Dopo una chattata su Internet i due hanno deciso di incontrarsi in una caffetteria. Mark ha notato che la donna che si è presentata all’appuntamento aveva un aspetto leggermente differente da quello che aveva visto nelle sue foto su Tinder, ma non si è fatto troppi problemi: tanta gente ha un aspetto reale parecchio differente da quello che pubblica online.

Durante questo primo incontro faccia a faccia Sara ha detto che i suoi genitori le avevano comperato un bitcoin, che aveva un valore di circa 30.000 dollari, ma non ha parlato di criptovalute per il resto dell’incontro.

Dopo una passeggiata insieme, i due si sono messi d’accordo di andare a casa di Mark a bere qualcosa. Hanno comperato degli alcolici, ma Mark ha notato che Sara era tutto sommato poco interessata a bere: mostrava molto più interesse per la musica. Anche qui, tutto sommato, niente di male.

A un certo punto Mark è andato alla toilette, e da quel momento i suoi ricordi si fanno confusi. Ricorda di aver bevuto ancora un po’ dopo essere stato alla toilette. Sara ha preso in mano lo smartphone di Mark e gli ha chiesto di mostrarle come si sbloccava. Mark sentiva che c’era qualcosa di sbagliato, ma aveva perso ogni inibizione e cautela. L’ultima cosa che ricorda di Sara è che la stava baciando, poi più nulla fino all’indomani mattina, quando Mark si è svegliato nel proprio letto.

Sara non c’era più, e non c’era più neppure il telefonino di Mark. Il portafogli, le carte di credito e i documenti personali dell’uomo erano ancora al loro posto. In casa non erano spariti soldi, computer o altri oggetti di valore.

Mark è andato al proprio computer portatile e ha cominciato a controllare i propri account: ha visto che qualcuno aveva tentato di fare acquisti di criptovalute usando il suo conto corrente bancario e di effettuare prelievi di bitcoin in vari siti di custodia di criptovalute. Chiaramente un aggressore stava cercando di svuotargli gli account dedicati alle criptovalute.

Che cosa gli stava succedendo?

Mark era diventato la vittima di una banda di criminali professionisti, ai quali non interessavano i soldi che aveva in casa o le carte di credito. Interessavano soltanto le password che proteggevano i suoi conti in criptovalute. Quelle password erano custodite nel suo smartphone: quello che mancava all’appello.

La sua strana arrendevolezza e perdita di inibizione davanti alla richiesta di Sara di mostrarle come sbloccare il suo smartphone, e la sua confusione nel ricordare gli eventi, erano probabilmente dovute a una sostanza che Sara gli aveva messo nel bicchiere approfittando della visita di Mark alla toilette. Una sostanza di quelle che appunto notoriamente causano perdita di inibizione e di memoria e vengono purtroppo usate solitamente per compiere aggressioni ai danni delle donne, specialmente nei locali pubblici. Stavolta la vittima era un uomo, e l’obiettivo non era un’aggressione fisica.

Sara era probabilmente il membro della banda che si occupava di sedurre le vittime, di drogarle di nascosto e di farsi dire come sbloccare i loro smartphone. Una volta ottenuto l’accesso al telefonino, il dispositivo viene passato a un altro componente della banda che si occupa di estrarne tutti i dati utili.

I criminali, infatti, si stanno rendendo conto che rubare un telefonino è molto remunerativo: questo dispositivo è ormai diventato la chiave di accesso alla vita intera, non solo digitale, di moltissime persone. Chi ha il vostro telefonino sbloccato può accedere alla vostra casella di mail e intercettare tutte le vostre comunicazioni personali e di lavoro. L’accesso alla mail permette di ricevere i link inviati dai siti degli account dei social network e dei servizi finanziari quando si clicca su “Ho dimenticato la password” e prenderne quindi il controllo cambiandone la password. Ma questo è soltanto l’inizio.

Quello che la maggior parte delle persone non si aspetta è che il loro telefonino possa essere considerato così prezioso dai malviventi da spingerli addirittura a organizzare una seduzione mirata, con tanto di incontro in carne e ossa con un membro della banda, soltanto per rubare quel dispositivo e farsene dare i codici di sblocco. Ma c’è un ottimo movente.

Avere il telefonino sbloccato di una persona, infatti, è ancora meglio che avere accesso alla sua mail: sul telefonino arrivano infatti anche gli SMS di autenticazione di banche e altri account che controllano denaro. Sul telefonino c’è anche l’app di autenticazione, per esempio Google Authenticator, che genera i codici usa e getta di questi account. E quindi avere lo smartphone sbloccato di una vittima significa avere tutto quello che serve per superare anche la cosiddetta autenticazione a due fattori usata dagli utenti più attenti: il primo fattore, infatti, è quello che sai (la password) e il secondo è quello che hai (il telefonino). Ma se una seduttrice ti induce a rivelare quello che sai e si porta via quello che hai, l’autenticazione a due fattori non serve più a nulla.

Infatti Mark aveva preso tutte queste precauzioni tecniche per proteggere gli account di criptovalute che gestiva, ma non aveva considerato il fattore umano. Ha sottovalutato l’investimento di risorse che i suoi aggressori erano disposti a fare.

I malviventi, infatti, si organizzano creando falsi account nei siti di incontri e immettendo in questi account parole chiave che attirano vittime facoltose: per esempio i gestori di criptovalute come Mark. Non sono loro a cercare le vittime: è la vittima che si autoseleziona.

Inoltre fanno leva sulle abitudini culturali: in un incontro fra sconosciuti, infatti, normalmente si pensa che la parte vulnerabile sia la donna. Le donne vengono avvisate del pericolo costituito dai farmaci immessi di nascosto nelle bevande: gli uomini no.

Nel caso di Mark, però, c’è un lieto fine, o quasi. Infatti i malviventi sono riusciti a impossessarsi soltanto di una piccola cifra in bitcoin presente in uno dei suoi account perché lui aveva preso un’ulteriore precauzione: aveva protetto i suoi account di maggior valore con un sistema a chiavi multiple.

In questi sistemi, un account finanziario è protetto da più di un codice o chiave di sicurezza. Le chiavi sono custodite su dispositivi separati e gestite da persone differenti. Per fare un trasferimento di denaro servono almeno due chiavi e quindi almeno due persone che siano d’accordo. Questa è la prassi standard per la gestione dei conti correnti nelle grandi aziende, e rende difficilissima la tecnica della seduzione: i malviventi dovrebbero riuscire a sedurre almeno due dei possessori di chiavi contemporaneamente.

Gli esperti di sicurezza sottolineano che questo tipo di trappola è una variante nuova di una tecnica vecchia, il cosiddetto wrench attack, l’attacco con la chiave inglese, nel quale si minaccia di fare del male alla vittima per indurla a obbedire e consegnare password e dispositivi agli aggressori.

Ora l’obbedienza viene ottenuta usando farmaci. 

L’altra novità è che il boom delle criptovalute ha creato molti nuovi ricchi, che non hanno ancora sviluppato buone abitudini di sicurezza e non si rendono conto che bitcoin e simili sono estremamente facili da perdere o da farsi rubare.

Alla luce di questa evoluzione, i consigli di questi esperti vanno aggiornati.

• Se date appuntamento a una persona sconosciuta che avete contattato su un sito di incontri, fatelo sempre in un luogo pubblico, preferibilmente uno dotato di telecamere le cui registrazioni possano essere consultate dalle autorità se qualcosa va storto.
• Confrontate sempre la foto della persona nel profilo con l’aspetto della persona che incontrate in carne e ossa. Se avete dubbi che sia la stessa persona, è il caso di allarmarsi.
• Non lasciate mai incustoditi cibi o bevande e non accettate cibi o bevande da sconosciuti o persone incontrate da poco.
• Limitate il vostro consumo di alcolici quando siete in un incontro di questo tipo.
• Mettetevi sempre d’accordo con una persona fidata che sappia del vostro appuntamento e agisca se non vi sente entro un certo orario.
• E ovviamente non pubblicizzate a sconosciuti il vostro interesse per le criptovalute.

Stamattina ho ricevuto l’ennesima chiamata da un truffatore che si è spacciato esplicitamente per un rappresentante di Microsoft e ha cercato di intortarmi dicendo che il mio computer aveva dei problemi. L’ho fatta breve e l’ho avvisato che la chiamata veniva registrata e che ero un giornalista e sapevo che si trattava di un truffatore. Ha insistito lo stesso.

La chiamata proveniva (almeno in apparenza) dal numero britannico 0044 7902542748. La registrazione è qui sotto:

Valgono le solite raccomandazioni:

• Ricordate che Microsoft non vi chiamerà mai per offrire assistenza tecnica non richiesta; è il cliente che deve chiamare se ha bisogno.
• Diffidate di qualunque telefonata inattesa o di qualunque messaggio pop-up inaspettato che compaia sul vostro schermo di computer, tablet o telefonini.
• Non telefonate a eventuali numeri che compaiono negli avvisi e non cliccate su inviti a scaricare software o effettuare scansioni del vostro dispositivo.
• Non cedete mai il controllo del vostro computer a terzi se non siete in grado di confermare che si tratta di legittimi rappresentanti di un’azienda informatica di cui siete già clienti.
• Se avete il minimo dubbio, prendete nota del nome e del numero della persona che vi ha contattato e segnalatelo alle autorità locali.

Ricordo infine che Microsoft ha una pagina apposita, disponibile anche in italiano, nella quale segnalare i dettagli di queste truffe:

Ma attenzione: i captcha della pagina sono un incubo da risolvere. Ho appunto segnalato questo caso a Microsoft, ma alla fine ho dovuto rinunciare perché non riuscivo a decifrare i vari captcha. Tipo questo: due parole separate? Una sola? In che ordine? Questo genere di complicazione fa passare la voglia.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.