Se vi siete affidati a poste e corrieri per inviare o ricevere pacchi di Natale, c’è una nuova truffa in agguato. Si tratta del finto “pacco bloccato” per il quale si richiede un orario di consegna. A mettere in guardia è la polizia postale, che parla di una nuova forma di phishing che mira a rubare informazioni personali e spesso anche il denaro custodito sul proprio conto corrente. Qui vi spieghiamo di cosa si tratta e quali altre truffe sono in circolazione.
La truffa del “pacco bloccato”
Il meccanismo è semplice. Come spiega la polizia postale via Twitter, si riceve una email con messaggi come «Abbiamo bisogno della tua conferma per spedire il tuo ordine». Nel testo si spinge l’utente a indicare quando si trova a casa («La tua spedizione è in arrivo! Scegli a che ora vuoi riceverla»). Naturalmente i colori della mail ricordano quelli delle Poste, in particolare il giallo e blu, ma a inviarle sono dei truffatori, che a volte imitano anche i caratteri di noti corrieri.
Cosa fare se arriva la mail del pacco da sbloccare
Cosa fare? Il primo consiglio è di non selezionare nulla, non indicare alcun orario né inserire dati personali. La polizia postale suggerisce anche di non aprire questi messaggi, specie da cellulare: meglio da un computer, dove è più chiaro l’indirizzo al quale si è dirottati. Nella maggior parte dei casi, infatti, si apre un altro sito che è in grado di sottrarre dati anagrafici o personali come password, chiavi di accesso a conti correnti, ecc. Queste email andrebbero poi segnalate alla stessa polizia, in grado di risalire ai mittenti e di bloccarli. Non si tratta, infatti, dell’unica truffa di questo genere registrata di recente.
Il 2022 anno boom per truffe e attacchi online
Il 2022 che sta chiudersi è l’anno del boom di attacchi informatici e violazioni della privacy, con ben 1.572 casi nei soli primi sei mesi dell’anno: sono più quelli totali del 2021, secondo i dati dell’Osservatorio Cybersecurity di Exprivia sulle minacce informatiche. Molte delle azioni degli hacker hanno riguardato sempre la spedizione di un pacco, con avvisi arrivati tramite sms.
La truffa con sms sul pacco in giacenza
Risale a pochi mesi fa, infatti, anche la truffa del pacco in giacenza, di cui si veniva avvertiti tramite un sms. In questo caso si richiedevano alcune informazioni necessarie per poter ultimare la consegna, spesso indicando un tempo limite per fornire i dati (“entro 48 ore”), pena il ritorno della spedizione al mittente. In alcuni casi era anche richiesto un pagamento per sboccare la spedizione ferma in una presunta dogana. Per farlo veniva chiesto di cliccare su un indirizzo non certificato SSL (che inizia con “http” invece che “https”). Come evitare la truffa? Sicuramente non selezionando il link, ma bloccando anche il numero dal quale proviene l’sms.
La truffa dell’sms da un contatto in rubrica
Uno dei trucchi più subdoli è quello di inviare alla potenziale vittima del raggiro un sms da un numero conosciuto e già presente nella rubrica dei contatti. Se questo accade la polizia postale consiglia di formattare il proprio device, cambiando anche pin e password di accesso, comprese quelle dei social, della email o delle App scaricate sullo smartphone, in particolare quella della propria banca. Contemporaneamente vanno informati i propri contatti, per evitare “catene di Sant’Antonio”, e la polizia stessa per altre indicazioni.
La finta mail della polizia
E se il messaggio arrivasse apparentemente dalla polizia? Qualche mese fa è capitato il caso di una truffa scoperta dalla polizia e veicolata tramite email e messaggi social, su carta intestata (falsa) con scritto: «Stiamo avviando un procedimento legale contro di lei per pedopornografia, pedofilia, cyber pornografia, traffico sessuale». Si trattava, appunto, di phishing e si basava sulla comunicazione di una presunta indagine penale nei confronti della vittima della truffa, a cui veniva chiesto di prendere contatti tramite un link. Anche in questo caso era un modo per carpire informazioni personali o denaro.
Email analoghe sono state inviate anche in altre lingue, riportando il logo della Repubblica Italiana, del ministero dell’Interno, di Europol o della Polizia italiana, che invece avverte: «La Polizia Postale raccomanda di diffidare da simili messaggi e avvisa che le Forze di polizia non contatterebbero mai direttamente i cittadini, attraverso email o messaggi, per richiedere loro pagamenti in denaro o comunicazioni di dati personali, dietro minaccia di procedimenti o sanzioni penali».
Attenzione agli account delle banche
A volte può capitare che le email provengano da indirizzi (persino Pec) apparentemente riconducibili alla propria banca, come accaduto poche settimane fa ad alcuni imprenditori, ai quali poi sono stati proposti falsi finanziamenti per la propria società. Venivano presentati come garantiti da Cassa Depositi e Prestiti, alla sola condizione di sottoscrizione di una polizza assicurativa, con il versamento di una somma iniziale unica pari all’1,2% o 1,4% del valore del prestito complessivo. In realtà il denaro versato finiva su conti correnti esteri dell’organizzazione criminale che aveva organizzato la truffa.
In maniera analoga, alcune truffe si basano sull’invio di presunte comunicazioni delle banche, tramite sms, nei quali erano indicate presunte anomalie. Anche in questo caso si rimandava a un link a falsi siti internet, del tutto somiglianti a quelli del proprio istituto bancario, dove immettere i dati del conto corrente. Questi, però, non sono altro che sportelli Atm cardless, che permettono di prelevare denaro anche senza possedere la carta bancomat o di credito.
Le “truffe romantiche”
Non da ultimo, esistono le cosiddette “truffe romantiche”. In questo caso vengono creati profili falsi sui social media e sui portali internet in cui il protagonista è un presunto spasimante, che appare molto ricco. Una volta instaurato un rapporto a distanza con la vittima, si fornisce una “prova d’amore”: il truffatore fornisce alla vittima quelli che spaccia per i dati di accesso al proprio conto corrente. Poi, si chiede di effettuare un pagamento tramite quel conto, ma il login improvvisamente non funziona più e alla vittima viene chiesto di effettuare la transazione dal suo conto personale.
I falsi siti per riscuotere eredità o vincite di lotterie
Come scoperto dal National Cyber Security Centre (NCSC), infine, le truffe hanno riguardato anche falsi siti web delle banche per incassare commissioni anticipate o che indicavano la possibilità di riscuotere una presunta eredità o di una inesistente vincita a qualche lotteria. In questi casi la finta prova era data dall’indicazione di un conto bancario, ovviamente falso.