La nuova frontiera delle truffe informatiche: dal trading online allo smishing, ecco come evitarle

Le frodi online sono la nuova frontiere delle truffe. Per chi cade nella rete non c’è scampo e il rischio è di rimetterci anche cospicue somme di denaro. Il Covid ha accentuato il pericolo legato a questo tipo di trappola, rendendo i raggiratori sempre più preparati e addentri alla materia. La loro capacità affabulativa crea nei possibili truffati delle aspettative di guadagno facili e immediate, che facilitano il raggiro. A volte per fretta e distrazione, si rischia di inserire dei dati importanti che poi vengono utilizzati a discapito del malcapitato di turno. Alla luce dei recenti accadimenti, denunciati con sempre più frequenza a livello nazionale, risulta necessario raccontarle.

Queste nuove truffe stanno dilagando e stanno diventando pericolose non solo per i semplici cittadini ma anche per professionisti e grandi multinazionali. Si va dalle migliaia di euro, un capitale per chi ha esigue disponibilità, fino ad arrivare a milioni.

Ad accompagnarci nella comprensione di questo intricato percorso Giovanni Ebrahimian, Dirigente Sindacale del SAP (Sindacato autonomo di Polizia), operativo nel campo della Polizia Postale come specialista nella materia. Passo dopo passo descriverà quelle che sono le insidie e come evitarle. 

Di che tipo di truffe si parla?
Ci sono tre nuovi tipi di truffe, almeno due di queste partono con uno spam e sono quei messaggi che arrivano via email, sms, socialnetwork o cliccando su semplici banner.

Un esempio potrebbe essere la casella di sms con il famoso messaggio di avviso della propria banca. Sono studiati perfettamente e sono in molti a cascarci. Ovvio se uno non ha una BNL di turno, cancellerà il messaggio, ma se l’ipotetico sms arriva dalla “propria banca” verrà sicuramente tenuto in considerazione. E’ bene sapere che non sono assolutamente inviati dal proprio ente bancario. La gente deve capire che questo non è il metodo di comunicazione che le strutture utilizzano per potersi mettere in contatto con i propri clienti. In realtà questi sono dei servizi acquistati da aziende straniere e non ben identificate. Questi messaggi possono essere veicolati tramite email, sms, social network. In buona fede in molti (soprattutto anziani) cliccano sul link e indicano i propri dati personali e le proprie credenziali venendo truffati e derubati.

Ma oltre allo spam di che truffe si parla?
Il primo metodo di truffa è quello del trading online che ha fatto grossissimi danni soprattutto durante il periodo del Covid e continua a farne. Con il trading online ad essere truffati non sono solo gli anziani, che hanno accesso a devise o internet, ma anche soggetti che hanno grande dimestichezza con le nuove tecnologie e che, catturati dall’idea di ottenere guadagni facili, decidono di investire il proprio denaro attraverso l’acquisto di Bitcoin. Per dare inizio alla truffa bisogna compilare un format al quale si accede attraverso un link, inserendo nome, cognome, data di nascita e numero di telefono. Il passo successivo è seguito da una chiamata del soggetto truffante che si spaccia per trader di Bitcoin. I soggetti sono altamente indottrinati quindi riescono a proporre il prodotto al meglio, carpendo la fiducia di chi ascolta. La loro preparazione, la loro capacità affabulatoria è riuscita a irretire persone come professori universitari, ingegneri e addirittura colleghi. Senza tralasciare persone anziane e giovani che hanno voglia di guadagnare immediatamente senza grande sforzo. Una volta irretiti vengono convinti a fare un piccolo investimento con la carta di credito sulla piattaforma da loro indicata, con un versamento minimo di €200.

Cosa succede dopo che le persone hanno investito?
I truffatori per far vedere che l’investimento è andato a buon fine rinviano ad un link tramite posta elettronica. A questo punto le persone vengono indotte a scaricare dei software che sono a gestione remota come Any Desk o TeamViver. Da quel momento il soggetto controllerà il PC della persona da remoto e a tutti gli effetti sarà concretizzabile la truffa. Saranno successivamente indotti ad inserire i codici bancari e al quel punto, i truffatori acquisiranno tutti i dati necessari per effettuare tutte le transazioni di cui avranno bisogno. 

Ma come mai le persone non si accorgono della truffa?
Perché attraverso il software Any Desk che viene fatto scaricare loro, sono in grado di fargli vedere che l’investimento effettuato ha prodotto dei risultati e dei guadagni immediati, il tutto attraverso software di borsa e trading. A questo punto i truffatori consigliano di fare un ulteriore investimento, superiore a quello precedente, partendo da una base media di €1000. Ne segue che la vittima ha bisogno di certezze per valutare se si tratta di una truffa, chiedendo così di poter ritirare o ricevere una piccola quota di ciò che è stato versato. Perfettamente organizzata, la truffa prevede l’invio, al mal capitato, di €200/500, che serviranno a convincere il truffato della veridicità dell’affare. I soggetti, ormai entrati nel loop dell’investimento si convincono a capitalizzare grosse somme di denaro, fino ad arrivare a migliaia di euro. Ma a quel punto sarà troppo tardi, perché quando la truffa viene scoperta, non potranno più avere indietro i soldi. 

La cosa che, però, ci lascia un po’ perplessi è che quando vengono a fare denuncia non sono ancora del tutto convinti che sia una reale truffa. 

Come si può evitare che le persone possano cadere in tali tranelli?
Noi abbiamo una regola fondamentale: il trading online non si fa su piattaforme esterne ma solo attraverso la propria banca. Diffidare di tutto ciò che è esterno alla proprio ente bancario, compresi i messaggi sms, email e/o telefonate. Chi vuole fare trading lo può fare solo recandosi in filiale con la specifica richiesta di voler provare questo investimento. In poche parole, bisogna recarsi fisicamente in banca aprendo un canale privato collegabile soltanto al trading online. Solo a quel punto la banca fisicamente e de visu, darà delle credenziali per poter effettuare questo tipo di investimento. Ripetiamo, diffidare assolutamente di sms, email e chiamate telefoniche che provengono da sedicenti banche, perché la banca non chiede mai online o via email codici, così come il cambio password o reset account.

Ci sono altri tipi di truffe oltre al trading online?
Come accennavo precedentemente c’è lo “smishing”. Questo consiste in quei messaggi soprattutto tramite SMS che sono mandati da sedicenti banche che appaiono con i nomi corretti delle banche di appartenenza dei soggetti a cui sono inviati. Il soggetto truffato vede che il messaggio arriva dalla “propria banca”, la quale chiede di cambiare password per i problemi più vari, tipo difficoltà di entrare nella home banking. Il soggetto per fare velocemente inserisce i propri dati. A quel punto gli hacker entrano nella pagina personale e chiamano telefonicamente il soggetto, dicendo in diretta:” Signor* tal dei tali stiamo aggiornando i dati. Le dovrebbe essere arrivato un codice sul telefonino, potrebbe darcelo per aggiornare i sistemi?”.  Quello che il soggetto truffato darà, equivale al codice dispositivo. Nel mentre i truffatori avranno già impostato un bonifico da fare all’estero e con il codice datogli dal soggetto truffato, il passaggio di denaro verso filiale estera, non individuabile, sarà immediato. Il soggetto si accorgerà della truffa dopo diverse ore o giorni.

Cosa è lo smishing?
Lo “smishing” è un tipo di sistema che viene effettuato attraverso l’acquisto di software che camuffano il numero reale chiamante, facendolo apparire come un numero appartenente ad una grossa società o ad una banca. I software acquistati per questa truffa servono per cambiare sia l’intestazione che la residenza del chiamante. 

Ma c’è una truffa che noi riteniamo la più pericolosa perché sta avvenendo su larga scala è che noi chiamiamo “men in the middle”. Qui si parla di truffe veramente corpose, ci si aggira intorno ai milioni di euro. Prendiamo per esempio una grossissima azienda “X” che vende e una grossissima azienda “Y” che acquista, come potrebbe essere un grosso marchio automobilistico che compra un treno di gomme da un altrettanto grande azienda di pneumatici. I contatti possono avvenire attraverso dei Domini di posta privati, alcune volte pubblici o personali. Accade che chi deve acquistare il treno di gomme, comunica con la società fornitrice già da tempo con email. Arriverà uno specifico giorno in cui gli verrà effettuata una richiesta di 15milioni di euro di gomme da consegnare entro tot giorni. Il tutto viene effettuato attraverso questi account di posta elettronica “non certificata”, cioè account che non sono PEC e non sono criptati, ma semplici account di posta dove serve semplicemente inserire un nome utente e una password.

Cosa accade nel momento in cui l’azienda X fa una richiesta di un certo tipo all’azienda Y?
Accade quindi che queste email non criptate siano prese di mira da hacker che attraverso determinati software fanno girare la ricerca della password (a volte anche per giorni) fino a trovarla. A questo punto, avendo il nickname, la mail e la password riusciranno a comunicare da un qualsiasi luogo del globo spacciandosi per coloro che sono delegati alla vendita e/o alla parte economica e commerciale dell’azienda, controllando le mail in arrivano. E’ così che iniziano lo studio di questi grossi personaggi che contrattano attraverso le email. Una volta inquadrati i soggetti, nel momento in cui arriva la richiesta dell’azienda “X” di voler comprare un treno di gomme per un valore di 15milioni di euro (ed è accaduto) la truffa si compie.  

Nello specifico cosa accade?
L’azienda “X” chiede per il valore dell’importo un treno di gomme per l’Asia. A questo punto il primo interlocutore rimanda ad un secondo interlocutore. Il truffatore che intercetta la mail in uscita, si appropria dell’account rispondendo a nome del secondo soggetto chiamato in causa. Il truffatore risponderà come fosse il soggetto addetto alla vendita, ma la sua mail differirà dall’originale per un semplice punto, un underscore, una lettera, una vocale, ma non desterà sospetto, convincendo chi acquista di essere in contatto con il soggetto indicatogli. Durante lo scambio di email accade che il soggetto truffante chieda di non inviare l’importo del pagamento sul solito IBAN, ma di inviarlo su un altro conto, spiegando che per problemi tecnici bancari ci si appoggia momentaneamente su un’altra banca, per esempio in Lituania. A quel punto, la truffa sarà compiuta e quei 15milioni di euro saranno spariti nel nulla.

Questo sistema serve per bucare non solo l’apparato di compravendita delle grosse aziende ma anche a bucare il sistema interno dell’azienda stessa. Questo perché, studiando i vari soggetti, si possono inviare delle email all’interno della società stessa dove il falso CEO scrive ad un suo sottoposto, dicendo che c’è un acquisto in atto. Il CEO chiederà di non parlarne con nessuno e di effettuare l’acquisto. Il soggetto che riceve la mail dal CEO non la mette in dubbio e quindi procede all’acquisto bucando anche internamente l’azienda e facendo perdere il capitale.

Che consigli possiamo dare?
Il consiglio che la Polizia postale lascia e di effettuare determinati tipi di comunicazione solo ed esclusivamente attraverso mail criptate con sistemi di sicurezza o pec. Inoltre sarebbe opportuno chiedere conferma attraverso altro canale precedentemente utilizzato, per qualsiasi cambiamento di IBAN o di dati anagrafici ecc.

Ricapitolando le 3 truffe nuove sono: le fake trading online, lo smishing e il man in the middle. 

Per il trading online i soggetti sono multipli soprattutto anziani o professionisti intenzionati ad investire per guadagnare qualcosa di più. Con lo smishing ci cascano tutti indifferentemente. Con la truffa man-in-the-middle invece i soggetti colpiti sono grossissime società multinazionali con portafogli che trattano centinaia di migliaia o milioni di euro.