Tutto comincia con una telefonata inattesa, delle tante che si ricevono: telemarketing, “comprate azioni Amazon“. Una voce registrata. E tutto finisce con conti correnti svuotati, famiglie sul lastrico. Sensi di colpa per essere potuti cadere in una truffa così spietata.
Un giro d’affari illecito per decine di milioni di euro quello smantellato, qualche giorno fa, con l’ultima operazione della Polizia di Stato coordinata dalla Procura della Repubblica di Pordenone in sinergia con la Polizia albanese e dalla Procura Speciale Contro la Corruzione ed il Crimine Organizzato S.P.A.K. di Tirana.
Centinaia i truffati accertati, ma potrebbero essere molti di più: i criminali avevano un database di 90mila contatti. Tre gli arrestati (italiani e albanesi), altri cinque gli arresti in arrivo spiegano dalla Polizia di Stato.
Si tratta di un caso esemplare di “trading online fasullo”, per complessità e portata.
L’operazione della polizia rivela quanto il fenomeno sia sofisticato, diffuso, e pericoloso. Mentre scriviamo certo altri truffatori continuano con metodi simili a raggirare vittime su tutto il territorio nazionale. Quest’ultima operazione però almeno ci permette di aprire una finestra sul modus operandi dei criminali. E di renderci, quindi, forse un po’ tutti più consapevoli del problema.
Indice degli argomenti
Si parte da azioni Amazon
Le potenziali vittime, tutte italiane, erano contattate da numeri di telefono con prefisso inglese, a cui seguiva una prima proposta d’investimento che riguardava per lo più l’acquisto di fittizie azioni Amazon di un valore iniziale di 250 euro.
In alternativa erano adescate via annunci social, come spiega al nostro giornale Ivano Gabrielli, Responsabile del Centro nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), che ha condotto l’operazione.
Poi criptovalute o bonifici carpiti
Chi accettava la proposta di investimento riceveva un link, sulla propria email, che rimandava all’installazione del software Anydesk in modo che i truffatori potessero disporre del controllo del PC della vittima per fare bonifici a proprio favore. “La vittima forniva anche le one time password ai truffatori, che la convincevano con il pretesto di dover comprare titoli h24, anche di notte, per cogliere il momento”, dice Gabrielli.
Ad alcuni invece proponevano di acquistare criptovalute su wallet di cui però erano i truffatori a mantenere la titolarità e che svuotavano regolarmente.
Il finto portale
Avevano attivato anche un finto portale dove la vittima vedeva l’andamento simulato degli investimenti fatti. Tutto finto, ovviamente. Nessun investimento e nessun soldo rimaneva sotto il controllo della vittima. I truffatori configuravano la piattaforma in modo da generare guadagni molto alti, che le vittime potevano visualizzare in ogni momento: in pochi giorni, spesso, triplicava il valore del capitale investito. “Dream earning” si chiama appunto l’operazione delle forze dell’ordine, guadagni da sogno. Solo sognati, però. purtroppo.
“Con il software di accesso al pc potevano informarsi sulla vita private delle vittime e usare così leve psicologiche adatte per carpire altri soldi”, aggiunge. Altre volte, nel percepire la titubanza delle vittime, i truffatori divenivano aggressivi e spietati anche sfruttando le informazioni precedentemente apprese.
Le comunicazioni, sempre in fluente italiano, avvenivano sia telefonicamente che attraverso messaggi WhatsApp con utenze italiane.
Frequenti i casi in cui le vittime venivano convinte a richiedere appositi finanziamenti per effettuare nuovi investimenti.
Riciclaggio via criptovaluta
Il denaro veniva inviato a dei conti correnti esteri di diversi Paesi membri dell’Unione Europea fra i quali Cipro, Lituania, Estonia, Olanda e Germania. Tra i beneficiari accertati vi sono numerose società di Exchange, spesso molto piccole, che convertivano immediatamente il denaro ricevuto in criptovaluta sui wallet a disposizione dei truffatori.
Al momento dell’incasso, alle vittime veniva richiesta una falsa commissione da pagare ad una presunta agenzia dell’Unione Europea per lo sblocco del denaro, operazione necessaria a causa della Brexit. Le cifre, ancora una volta, venivano incassate dal sodalizio che, ovviamente, non restituiva nemmeno la somma “investita” accampando scuse di ogni genere.
Per chiudere il ciclo della truffa, poi, i truffatori si spacciavano per società di recupero crediti, a volte a distanza di tempo, convincendo le vittime a versare ulteriori somme di denaro per riottenere il denaro investito.
Le intercettazioni telematiche e le successive attività di polizia giudiziaria esperite anche in Albania hanno appurato che il sodalizio aveva messo in piedi due veri e propri call center complessivamente con 60 postazioni di lavoro, con diverse figure al proprio interno: vi erano infatti operatori, che gestivano il primo contatto con i clienti e verificavano la disponibilità ad investire, e veri e propri “consulenti” che guidavano passo passo le vittime negli investimenti a loro dire più vantaggiosi.
90 mila le potenziali vittime italiane
I call center utilizzavano delle piattaforme di Customer Relationship Management, ed ogni operatore poteva così accedere al proprio “cruscotto” e annotare le conversazioni intrattenute con il cliente, la sua disponibilità all’investimento oltre che i suoi dati personali. Il database scoperto ammontava a circa 90.000 potenziali “clienti” che gli operatori potevano contattare per chiedere la disponibilità all’investimento. In molti casi, gli operatori utilizzavano alcuni provider VoIP telefonando così direttamente dalla propria postazione di lavoro.
La rete informatica del call center utilizzava il meccanismo del tunnelling VPN su un server VPS ospitato in Italia, avente IP statico, in modo che ogni connessione effettuata ai servizi di home-banking delle vittime risultasse proveniente dall’Italia, e non dall’Albania. Ciò consentiva ai truffatori, tra l’altro, di non far rilevare quali “sospette” le connessioni agli istituti bancari, aggirando così i sistemi alert predisposti dagli stessi.
L’organizzazione criminale con sede dei call center malevoli in Albania, comprendeva circa 60 dipendenti addestrati ad operare convincenti telefonate proponenti una piattaforma di trading online specializzata in criptovaluta. Il personale, per rendere la frode quanto più producente possibile, era suddiviso in “operatori” con il compito di agganciare la vittima e “consulenti”, per guidarli e convincerli al meglio sui guadagni e sulle opzioni di investimento. Investimento che poi si rivelerà finto e inesistente.
Social engineering base di tutto
“L’efficacia della truffa è strettamente legato all’ingegneria sociale, ossia alla fiducia che veniva instaurata tra consulente e vittima”, spiega Dario Fadda, esperto di cybersecurity.
“La fiducia era tale, affiancata da basilari competenze informatiche, che permetteva al consulente di operare in proprio direttamente sul computer della vittima, convinta all’installazione di software comune di desktop remoto, con il quale il criminale poteva disporre direttamente dell’accesso al computer del “cliente”, apprendendo in questo modo il contenuto (documenti e foto), importante per essere sfruttato nelle fasi successive dei contatti con la vittima, qualora incerta su ulteriori versamenti”.
“Ciò che si può apprendere dagli attacchi di social engineering è che noi siamo il fuoco delle operazioni criminali, abbiamo quindi una grande responsabilità in ogni nostro comportamento, una frase detta, un click effettuato, un modulo online compilato”, dice Fadda.
Tre consigli chiave
- “Massima attenzione a guadagni aleatori molto differenti dalla media degli istituti di credito in circolazione (in un dato periodo storico), così come mai condividere (per nessun motivo) informazioni personali via telefono né consegnare password e dati di accesso a terze persone”, continua.
- “Anche l’installazione di software, su richiesta di terzi, non è mai da prendere alla leggera, prima di effettuare una installazione di un certo programma verifichiamo di che software si tratta e quali opportunità offre a noi e a chi ce lo sta proponendo. L’accesso a un computer personale, a terze persone, non è una pratica che possiamo accettare passivamente, cerchiamo in questo caso delle alternative, allarmandoci su ciò che ci viene richiesto di eseguire”.
- “Ad ogni modo non ci può essere una fiducia tanto grande da poter offrire i dati bancari e l’accesso ai nostri dispositivi, a terzi mai conosciuti di persona (e anche in questo caso, può non bastare, di fatto sono accessi troppo strettamente personali)”, dice Fadda.
