Con il termine scam (o cyber scam) ci si riferisce ad un tentativo di truffa mirata verso ignare vittime di raggiri che possono essere perpetrati online ma anche nella vita reale.
I tentativi di truffe online sono oramai una costante e si manifestano oggi ancor di più con la grande diffusione, nella vita di tutti giorni, dei servizi digitali che costellano la grande ragnatela di Internet.
Al riguardo è imprescindibile una corretta informazione per avere consapevolezza dei pericoli e conoscere quali accortezze seguire per non cadere vittima delle varie declinazioni dello scam. Il caso recente segnalato dalla Polizia Postale e delle Comunicazioni di Firenze ne è un ulteriore esempio.
Indice degli argomenti
Come funziona lo scam
Il comune denominatore dei tentativi di una truffa online (scam) ben pianificata, che può coinvolgere sia la sfera privata che quella professionale, è sempre lo stesso ovvero riuscire a convincere il malcapitato, con un pretesto verosimile e talora dopo avere instaurato un duraturo rapporto confidenziale a distanza, a fornire informazioni sensibili o a pagare del denaro in anticipo e, dopo aver ottenuto il voluto, interrompere i contatti.
Gli scammer, dopo aver studiato il profilo delle proprie vittime, si avvalgono di tecniche persuasive, di strumenti tecnologici e dell’uso di Internet per perpetrare l’operazione illecita. In particolare, una volta individuato il contesto adatto (sentimentale, finanziario, lavorativo ecc.) procedono con l’adescamento vero e proprio allo scam via e-mail, social network o chat.
È molto comune cadere in trappole del genere, in quanto le circostanze risultando credibili e convincenti inducono nell’errore lo stesso truffato, rendendolo compartecipe ignaro dell’inganno.
Gli scammer, senza alcuna remora, fanno leva principalmente sullo stato emotivo e sui punti deboli del target designato. Bisogna entrare nell’ottica che le truffe possono concretizzarsi anche nel mondo digitale. Come facciamo usualmente nel mondo reale occorre essere sempre diffidenti e prudenti (dietro alcune tipologie di approccio può nascondersi verosimilmente una truffa).
Come riconoscere lo scam e l’azione di uno scammer
Per riconoscere uno scam è possibile fare attenzione ad alcune caratteristiche tipiche di sviluppo:
- gli schemi d’azione sono piuttosto simili e ricorrenti. Una ricerca in rete può aiutare a trovare advisory che testimoniano fatti analoghi;
- lo scammer alla resa dei conti chiederà di usare servizi di trasferimento di denaro con metodi insoliti o carte prepagate e valuta digitale;
- poiché l’identità dello scammer può essere fittizia egli tenderà a evitare di dare dettagli più precisi sul proprio conto, insistendo invece a ricevere maggiori informazioni dall’interlocutore. In questi casi talvolta può essere utile effettuare una ricerca per immagine e/o ricerca generale su Internet per verificare una presunta identità. Molto probabilmente non si otterrà alcun risultato se non quello di un prestanome più o meno consapevole;
- lo scammer cercherà di suscitare comprensione, empatia ed interesse raccontando storie drammatiche o presentandosi seducente, rispettabilissimo o autoritario.
Lo scam e le tecniche di impersonificazione
Lo scammer può riuscire a fare credere che la propria identità quanto la fonte di determinate informazioni siano attendibili e legittime attraverso diversi modi di impersonificazione. Se ne citano solo alcuni.
Catfishing
Chi frequenta social network e le piattaforme per incontri online, può cadere nelle maglie di quelle reti di truffe da parte di utenti che utilizzano profili falsi.
Nella fattispecie il catfishing consiste nel creare un’identità fittizia di fantasia o rubata da profili pubblici veri, con fotografie ed estremi personali, con l’intento malevolo di truffare altri utenti tramite ricatti ed estorsioni.
E-mail Spoofing
Lo spoofing è una tecnica impiegata per l’impersonificazione di utenti o dispositivi. Nella fattispecie, allestendo alias o indirizzi e-mail molto simili agli originali, questo tipo di falsificazione può essere adoperata per far credere alla vittima che l’identità del mittente di posta elettronica sia attendibile.
Viene sfruttato il limite, comune a tutti i client di posta elettronica, di mostrare solitamente come intestazione dei messaggi solo il nome del mittente o una semplice label. Per visualizzare le intestazioni complete, il consiglio è quello di abilitare l’opzione di visualizzazione integrale degli header.
Violazione di account
Purtroppo sono ormai all’ordine del giorno i casi di data breach con i quali vengono violate grandi quantità di indirizzi mail e password e rese pubbliche sul web in chiaro quanto in quello oscuro. Questo rende per nulla non trascurabile l’eventualità di una possibile compromissione di un account di posta inficiando la privacy dell’intestatario e consentendo un eventuale uso improprio dell’identità digitale carpita.
Esistono online appositi siti e strumenti che grazie all’analisi dei numerosi casi censiti, riescono a dare delle informazioni, più o meno attendibili, sulla possibilità che un indirizzo e-mail sia stato oggetto o meno di violazione in passato.
Captazione della corrispondenza
Un soggetto può intercettare la corrispondenza di posta elettronica ed infiltrandosi in contatti già in corso (richiamando documenti contraffatti) fare in modo, ad esempio, che i pagamenti finiscano su conti correnti fraudolenti.
Lo scammer, per disporre delle informazioni necessarie, può avvalersi di consultazioni di fonti libere e accessibili oppure di accurate tecniche di ingegneria sociale e phishing.
Le tipologie di scam
La fantasia dei truffatori per riuscire ad adescare le vittime non ha limiti. Seguono alcuni esempi.
Scam Sentimentale
Infiltrandosi nelle piattaforme di incontro i truffatori stabiliscono una relazione con le proprie vittime fingendo un ipotetico vero amore. Con le lusinghe si cerca di instaurare una certa dipendenza emotiva per poi nel momento giusto, evitando sempre un incontro di persona, chiedere un aiuto economico per motivi drammatici quali ricoveri, malattie e acquisto medicinali salvavita per sé o per i familiari, senza alcuna remora nello sfruttare solitudine e valori affettivi della vittima. Il colpo qualora andasse a segno comporta un danno non solo economico ma anche sentimentale.
La truffa delle false promesse economiche
Si tratta di simulare degli scenari di presunte eredità, vincite alla lotteria, guadagni facili, offerte immobiliari e di lavoro che prevedono il pagamento anticipato per le commissioni. Ovviamente dopo il pagamento della somma, possibilmente su conti bancari esteri o di prestanomi, anche in questo caso il contatto s’interrompe.
La truffa delle raccolte benefiche
Questo tipo di truffa tradizionale, trova vasta attuazione anche in rete, con l’ausilio talvolta di pagine web fake ben allestite con grafiche di associazioni di beneficenza autorizzate. Si può venire adescati via mail con il pretesto di donazioni in favore di soggetti appartenenti a categorie disagiate o di false startup bisognose di investimenti.
Scam a scopo estorsivo
Molte conversazioni che si svolgono all’interno di chat privé, dove spesso si confidano i propri sentimenti più intimi e segreti, possono trasformarsi in veri e propri ricatti per gli utenti qualora si condividano con superficialità video e foto. Il materiale può essere utilizzato per estorcere denaro. I cyber criminali utilizzano tattiche sempre diverse per la sextortion. Negli ultimi tempi molto clamore hanno fatto le innumerevoli campagne di questo tipo messe in atto attraverso email spam ben preparate per convincere le vittime a versare denaro in cambio del silenzio. I testi dei messaggi in modo molto convincente, facendo riferimento al possesso di materiale compromettente, riportano dettagli per il pagamento in bitcoin del riscatto.
Whaling
Letteralmente caccia alla balena è una sofisticata tecnica di ingegneria sociale che consiste nell’ottenere preziose informazioni di valore economico e che colpisce i pesci grandi ovvero figure apicali del mondo della finanza e del business. Tra le principali truffe del genere si annoverano le varie forme di CEO Fraud e Business Email Compromise.
La truffa delle fatture
Lo scammer spacciandosi per un fornitore di servizi legittimo contatta l’azienda, con falsi pretesti, per comunicare il cambio degli estremi del conto bancario (controllato dal malfattore) su cui versare i futuri pagamenti per il servizio offerto.
Considerazioni finali
Se si viene a conoscenza di un tentativo di scam o di una truffa online, anche se non si è stati direttamente coinvolti, è sempre bene darne comunicazione alla Polizia Postale. Il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) ha messo a disposizione, oltre alle prassi canoniche presso le sedi delle stazioni locali, due modalità di contatto online:
- una segnalazione tramite form web per porre i fatti riscontrati all’attenzione della Polizia Postale e verificarne la reale illiceità;
- un servizio online di “Denuncia via web”.
In ogni caso valgono sempre e comunque delle regole di buon senso per mitigare il rischio di adescamento:
- per i privati
- conservare i propri dati personali in modo appropriato;
- prestare attenzione alle condivisioni sui social media, controllando anche le impostazioni di privacy e sicurezza. Dati personali e foto possono essere usati dagli scammer per la creazione di una falsa identità o per predisporre truffe e ricatti;
- diffidare dalle richieste di pagamento insolite sia nei metodi che nelle motivazioni;
- per le aziende
- attuare una procedura interna per la verifica delle richieste di pagamento;
- assicurare un’adeguata formazione del personale, istruendolo sui tipi di truffe e su come evitarle;
- fare attenzione alle informazioni e riferimenti pubblicati sui portali web aziendali;
- sensibilizzare il personale a non condividere sui social network informazioni professionali e aziendali.
