Abbiamo spesso messo in guardia per molti anni i nostri lettori in merito alle truffe dei falsi corrieri , anche prima che la pandemia di coronavirus aumentasse la nostra dipendenza collettiva dalle consegne a domicilio.
Queste truffe possono assumere molte forme diverse, tra cui:
- La consegna di un falso regalo inviato da un “amico” online viene ritardata dagli oneri doganali. Si tratta di uno stratagemma comune usato dai truffatori romantici, che ti imbrogliano grazie a un’amicizia nata online, ad esempio rubando i dati del profilo di altre persone da siti di dati online, corteggiandoti virtualmente e poi “inviandoti” un “regalo”, spesso un gioiello o qualcosa del genere che sanno che apprezzeresti se fosse vero. Il truffatore si spaccia quindi per il corriere che gestisce la “consegna”, identificando correttamente l’articolo, il suo valore e il codice di spedizione inventato. Infine, si inventa un pagamento doganale o fiscale da effettuare prima che l’articolo possa essere rilasciato nel tuo paese (cosa che spesso accade con consegne autentiche tramite corrieri reali). Alcune sfortunate vittime pagano questa tassa, in contanti, in buona fede. In questo tipo di inganno, i truffatori puntano direttamente ai tuoi soldi.
- Un falso ordine verrà consegnato una volta confermato l’acquisto. Può trattarsi di abbonamenti di basso valore con rinnovo automatico, oppure di nuovi costosi telefoni cellulari o di console di gioco che verranno spediti a breve. Dato che è più facile indovinare cosa non hai appena comprato rispetto a quello che già possiedi, questi truffatori fanno affidamento sul link o sul numero di “assistenza clienti” che hanno fornito per annullare o contestare l’addebito. Una volta che ti hanno preso in giro, abili truffatori sociali in un call center gestito dai criminali si offrono di “aiutarti” a cancellare l’ordine o l’abbonamento fasullo (qualcosa che può essere fastidiosamente difficile anche per beni e servizi legittimi). In questo tipo di inganno, i truffatori cercano di estorcerti tutte le informazioni personali che possono persuaderti a comunicare, in particolare i dati della carta di credito, il numero di telefono e l’indirizzo di casa.
- Una falsa consegna non è andata a buon fine e l’articolo è ora in deposito. Questi falsi avvisi di consegna in genere offrono di aiutarti a riprogrammare la mancata consegna (cosa occasionalmente necessaria per consegne legittime di veri ordini online), ma prima di poter scegliere una nuova data di solito è necessario accedere a un sito Web della “compagnia del corriere” fasullo e immettere i dati della carta di credito. Le transazioni con carta di credito sono quasi sempre per importi molto piccoli, come 1 o 2,99 euro, e alcuni truffatori comunicano opportunamente che sulla tua carta “non verrà addebitato alcun costo fino al completamento della consegna”, in modo per farti sentire più a tuo agio nell’impegnarti al pagamento. In questo tipo di truffa, non ti verranno addebitati i 2,99 euro ora, ma quasi sicuramente i dettagli della tua carta di credito saranno venduti a qualcun altro che accumulerà spese in seguito.
KISS – Keep It Simple and Straightforward (Mantienilo semplice e diretto)
Ma alcune di queste truffe rendono le cose molto più semplici di così, come questa che abbiamo ricevuto noi stessi durante il fine settimana.
L’e-mail ti offre semplicemente una lettera di vettura per una consegna a te indirizzata:
Questo messaggio era indirizzato alla nostra e-mail aziendale e l’indirizzo fisico dell’azienda è di pubblico dominio, quindi la semplice conferma dei dettagli di consegna non suona come se fosse un grave rischio per la privacy…
…fino alla fase successiva del processo che richiede una password per l’account e-mail associato:
Tieni presente che l’indirizzo e-mail e il nome dell’azienda visualizzati nella pagina di phishing della password vengono estratti direttamente dall’URL specificato nell’e-mail originale.
Nell’esempio riportato sopra, l’URL era: https://[REDATTO]/index.php?email=tuonome@naksec.test, rendendo facile per il sito web [REDATTO] presentare una pagina di accesso con il nome di un’azienda in esso, senza bisogno di un database di codici di tracciamento condiviso tra i criminali che inviano le false e-mail e i truffatori che gestiscono la pagina Web della truffa.
Dopo che hai inserito la tua password e i truffatori l’hanno raccolta, vieni reindirizzato al nome di dominio dalla tua email, in genere la pagina principale del sito Web della tua azienda, una sorta di esca per distrarti:
È interessante notare che il sito di accesso fraudolento reindirizza tramite HTTP, ma la maggior parte dei server Web in questi giorni ti reindirizzerà automaticamente alla loro versione HTTPS, quindi probabilmente non finirai su una pagina non sicura come mostrato sopra.
Tieni presente che in questa truffa non viene richiesto alcun falso pagamento, nessun modulo di pagamento con carta di credito fraudolento e nessuna consegna non riuscita da riprogrammare.
Solo una “lettera di vettura” che puoi visualizzare e verificare.
Cosa fare?
- Controlla attentamente tutti gli URL. Scopri quali nomi di server aspettarti dalle aziende con cui lavori e attieniti a quelli. Segnateli in anticipo, in base a informazioni affidabili come ad esempio gli URL che trovi sugli estratti conto stampati. Scopri non solo come dovrebbe apparire la pagina di accesso e-mail della tua azienda, ma anche esattamente quale URL utilizza e non accedere mai da nessun’altra parte. Guarda prima di andare oltre: ci vuole solo un secondo.
- Evita i link nei messaggi o nelle e-mail, se puoi. Le aziende reali spesso forniscono collegamenti rapidi per aiutarti a passare direttamente a pagine Web utili per gli account online come le bollette. Questi link ti fanno risparmiare qualche secondo perché non hai bisogno di trovare e digitare manualmente i tuoi codici o il numero di conto. Ma non verrai mai ingannato da link falsi se non usi mai i link nei messaggi! (Vedi punto 1 sopra.) Quei pochi secondi sono un piccolo prezzo da pagare per non trovarti a pagarne uno molto più alto, quella di consegnare i tuoi dati personali ai criminali informatici.
- Fermati. Pensa. Collegati. Queste tre parole hanno una lunga storia e sono facili da ricordare nel mese della sensibilizzazione sulla sicurezza informatica, che inizia tra poco (ottobre 2021). Prova a ripeterti ad alta voce quelle parole, sottolineando le pause indicate dai punti (punti), prima di ogni transazione online. Quando sei su una pagina di accesso o su un modulo di pagamento, è più probabile che tu commetta un errore se sei di fretta. Naturalmente, non è necessario attendere il mese della sensibilizzazione sulla sicurezza informatica per essere consapevoli: prendi l’abitudine oggi!