VI HA CONTATTATO UN PRINCIPE NIGERIANO VIA MAIL? È OVVIAMENTE UNA TRUFFA, EPPURE C’È CHI CI CASCA – CI SONO MIGLIAIA DI TIPOLOGIE DI FRODI ONLINE, ALCUNE MOLTO PIÙ RAFFINATE E MENO SGAMABILI DI QUESTA – DAL CLASSICO PHISHING ALLE MAIL DI AMICI HACKERATI CHE CHIEDONO DENARO, DAL "PUMP AND DUMP" DI CRIPTOVALUTE AGLI ATTACCHI RANSOMWARE: TUTTO QUELLO CHE DOVETE SAPERE PER NON ESSERE FREGATI ONLINE…
Emma Witman per it.businessinsider.com
Via via che Internet continua ad espandersi in ogni aspetto della società, le truffe online stanno anch’esse diventando più sofisticate. Dalle truffe di phishing ai falsi venditori di biglietti, le truffe online si aggrappano a sentimenti diversi che ci guidano, come la simpatia, la paura e l’avidità.
Quello che le truffe online hanno in comune è che approfittano dell’ingenuità e dell’ignoranza del loro pubblico. Alcune delle truffe più elaborate che sono in giro per tutto il world wide web in questo momento, vanno dalla prima pagina di YouTube alla tua casella di posta.
Ecco alcune delle truffe online più sofisticate su Internet.
truffa del principe nigeriano 1
Il phishing ha gravi conseguenze per le vittime
Una delle truffe online più diffuse è il phishing. Nel 2016, a seconda di chi si interpella sull’argomento, il phishing ha persino fatto deragliare la candidatura presidenziale di Hillary Clinton e, come minimo ha rivelato la deliziosa ricetta del suo manager di campagna elettorale per un risotto cremoso.
Il phishing, quando ha successo, induce l’utente a consegnare inconsapevolmente le proprie password al truffatore, spesso attraverso email dall’aspetto professionale che fingono di provenire da aziende affidabili. Il risultato del giochino è generalmente l‘acquisizione di informazioni personali, come i numeri di carta di credito e dei documenti.
Secondo il gruppo di lavoro anti-phishing, ogni mese vengono segnalati circa 100.000 tentativi di phishing. Recentemente, il phishing è stato usato come un’arma per diversi gradi di sofisticazione con una tecnica chiave: furto d’identità.
Il trucco è stato sufficiente per convincere un dipendente di Gimlet Media, che gestisce il podcast su tutto ciò che riguarda internet “Rispondi a tutti”, ad aprire un’email inviata da un suo “collega”. Peccato che il mittente non era un suo collega, ma un hacker che tentava un test di phishing autorizzato sui dipendenti della società.
Il furto d’identità è una tattica online per la quale bisogna essere particolarmente cauti sui social media, dove le immagini e gli pseudonimi degli amici sono a portata di mano per essere imitati. Gli account duplicati pescano informazioni personali dietro la maschera della familiarità. La truffa del principe nigeriano è uno dei tranelli più vecchi su internet.
La truffa del principe nigeriano è una delle più vecchie truffe su internet.
La truffa venne alla ribalta negli anni ’90 ed è indicata dall’FBI come “Frode nigeriana” o “419”. La premessa è semplice: ricevi un’email e, all’interno del messaggio, un principe nigeriano (o investitore o funzionario governativo) ti offre l’opportunità di lucrosi guadagni finanziari.
La trappola? Pagare una piccola parte dell’importo in anticipo o consegnare le informazioni sul conto bancario e altre informazioni identificative in modo che il trasferimento possa essere effettuato. Ovviamente, perdi quel “denaro iniziale”, non ricevendo mai neanche una monetina in cambio.
Secondo un articolo su Wired del 2018, la cospirazione è cresciuta in termini di sofisticazione, risultando in milioni di dollari in truffe e in uno status di quasi celebrità per coloro che costruiscono le truffe delle email “nigeriane” che commettono la frode.
“Sono il malware e il phishing combinati con un’ingegneria social intelligente e acquisizioni di account”, ha dichiarato James Bettke, ricercatore presso la società di sicurezza Secureworks, al giornalista di Wired Lily Hay Newman nel 2018.
“Non sono molto sofisticati dal punto di vista tecnico, non sanno programmare, non usano molta automazione “, ha aggiunto. “Ma i loro punti di forza sono l’ingegneria social e la creazione di truffe agili: passano mesi a setacciare le caselle di posta, sono silenziosi e metodici.”
Le frodi sui biglietti portano all’acquisto di biglietti falsi per eventi di sport e musica.
Un’altra popolare truffa online è la frode sui biglietti, in cui i consumatori sono indotti a comprare biglietti falsi per eventi sportivi, concerti e altri eventi. Gli scammer di solito puntano a eventi di alto profilo i cui biglietti probabilmente vanno esauriti in modo che possano trarre vantaggio dall’aumento della domanda. Spesso i biglietti che inviano ai clienti hanno codici a barre contraffatti o sono copie duplicate di biglietti legittimi. Altre volte, i consumatori non riceveranno alcun biglietto dopo aver pagato.
Più del 10% dei millennial sono stati vittime di frodi sui biglietti e il Better Business Bureau raccomanda ai clienti di prendere diverse precauzioni prima di acquistare i biglietti online.
Alcune persone sono state contattate via messaggio da imitatori di celebrità
Una variante della truffa di phishing è quando i truffatori online si mascherano da celebrità e influencer. A gennaio, la star di YouTube Philip DeFranco ha dovuto avvisare i suoi oltre 6 milioni di abbonati di una di queste truffe.
“Se hai ricevuto un messaggio da me o da qualsiasi altro artista su YouTube che assomiglia a qualcosa del genere, è molto probabile che qualcuno cerchi di imbrogliarti”, ha detto DeFranco in un video pubblicato sul suo canale.
Il finto DeFranco si è infilato nei messaggi di YouTube di utenti-target, promettendo “regali” se avessero cliccato su un collegamento ipertestuale. Il vero scopo del truffatore: il furto di identità per guadagni finanziari attraverso un classico sistema di phishing online.
Più di 150 utenti di YouTube nella pagina della community hanno dichiarato di essere caduti nella trappola.
“Siamo consapevoli e abbiamo avviato l’implementazione di ulteriori misure per combattere il furto d’identità”, ha scritto un dipendente di YouTube in risposta a reclami di truffa. “Nel frattempo, abbiamo rimosso account identificati come spam.”
La società ha anche detto che gli utenti potrebbero bloccare qualsiasi account che li copre di spam e che i canali che lo fanno, possono essere segnalati attraverso il suo strumento di segnalazione.
Altre volte, le persone si sentono truffate dai veri influencer
Una cosa è essere ingannati da una celebrità finta. Ma c’è anche una tendenza a sentirsi truffati dagli influencer nella vita reale. Un thread virale su Twitter ha accusato l’influencer di Instagram Caroline Calloway di usare la sua immagine online per truffare quelli che avevano pagato $ 165 per partecipare al suo “laboratorio di creatività”.
E folle inferocite per il fiasco che è stato il Fyre Festival – un evento talmente riuscito male da giustificare che non uno, ma due documentari su di esso – hanno diretto gran parte della loro ira contro gli influencer e celebrity che avevo sponsorizzato l’evento.
I truffati hanno criticato la mancanza di trasparenza su quanto gli influencer sono stati pagati per sponsorizzare il festival con i loro milioni di follower online, anche se non tutti hanno concordato sul fatto che meritassero di essere incolpati.
Ma a volte gli stessi influencer possono essere truffati
Una truffatrice che si è finta Wendi Murdoch ingannando influencer di social media e i fotografi e convincendoli a consegnarle denaro. Un genere di truffa online ha come vittime gli stessi influencer, e usa tattiche di frode identiche al phishing.
All’inizio di quest’anno, una truffatrice nelle vesti dell’imprenditrice e investitrice Wendi Murdoch, ha utilizzato indirizzi di posta elettronica e altre tecniche così convincenti che star dei social media sono state indotte a comprare i propri voli per l’Indonesia e a pagare per falsi permessi di fotografia come parte della truffa.
Le vittime, tra cui influencer e fotografi di viaggio, sono stati derubati di migliaia di dollari. L’FBI e il Dipartimento di polizia di New York hanno aperto le indagini sulla truffa nel 2018, secondo The Hollywood Reporter. Partecipa anche l’azienda investigativa K2 Intelligence, che ha tracciato il perno della truffa dalle celebrità agli influencer.
“Per molto tempo hanno perseguitato persone a Hollywood. [Ora, loro] prendono di mira regolarmente influencer – star di Instagram, fotografi di viaggio, persone che fanno cose che li portano a viaggiare in tutto il mondo”, ha detto a INSIDER a gennaio Nicoletta Kotsianas, una direttrice di K2 Intelligence.
“Si tratta di convincere alcune persone che esiste qualcun altro, manipolarle, farle sentire coinvolte e creare un mondo tutto intorno a loro”, ha aggiunto. “Stanno facendo un po’ di soldi, ma quello che davvero conta è il processo che hanno intrapreso.”
Un attacco Ransomware ha tenuto in ostaggio un’intera città nel 2018
Uno screenshot mostra una richiesta di ransomware WannaCry, fornita dalla società di sicurezza informatica Symantec. Alcune delle truffe online più insidiose riguardano il ransomware.
In un attacco ransomware, gli hacker installano malware su un computer o su un sistema di computer che limita l’accesso di una vittima ai loro file. Il pagamento di un riscatto, spesso sotto forma di bitcoin, è richiesto per annullarlo.
Il governo di Atlanta è stato colpito da un attacco di ransomware nel 2018 e, secondo un rapporto Wired, è costato alla città più di $ 2,6 milioni.
Gli hacker dietro la truffa “si sono impegnati deliberatamente in un’estrema forma di ricatto digitale del 21° secolo, attaccando ed estorcendo denaro a vittime vulnerabili come ospedali e scuole, vittime che sapevano sarebbero state disposte e in grado di pagare”, ha detto a novembre Brian Benczkowski, il capo della divisione criminale del Dipartimento di Giustizia.
Non c’è da meravigliarsi che la minacciosa forma di attacco sia diventata parte della trama di “Grey’s Anatomy”.
Le trappole ransomware false possono essere altrettanto dannose
Nel peggiore dei casi, le frodi ransomware minano il senso di sicurezza e privacy della vittima.
E in una terrificante variante, gli hacker rivendicano via email di aver hackerato una webcam mentre la vittima guardava un film porno.
L’annuncio di cam-hacking, che è sostenuto dalla ripetizione della password dell’utente nell’email, è un mezzo per ricattare: inviaci bitcoin o inviamo il filmato a tutti i tuoi contatti.
La realtà? Manipolazione pura. I truffatori non hanno dossier di filmati. Non hanno nemmeno mai violato le tue informazioni. Come? Perché la password che si sono vantati di avere non è stata hackerata, ma raccolta, presa da database disponibili pubblicamente di password e email trapelate.
Quindi non c’è bisogno di coprire la fotocamera del portatile. Per adesso.
I fake di crowdsourcing tipo GoFoundMe sfruttano la generosità delle persone
Un altro elemento in crescita online è la falsificazione di casi GoFundMe. Un esempio degno di nota viene da una bella storia del 2017 su una coppia che ha raccolto $ 400.000 per un veterano senzatetto che gli aveva prestato i suoi ultimi $ 20. Come hanno scoperto i pubblici ministeri, il trio ha inventato l’intera storia, e non solo hanno affrontato un misto di accuse federali e statali, ma GoFundMe ha rimborsato le donazioni di tutti i 14.000 donatori.
Un altro esempio di storytelling strategico nell‘arte di usare il crowdsourcing per truffe: una studentessa universitaria nera che ha raccolto denaro dai repubblicani su GoFundMe dopo aver affermato che i suoi genitori l’hanno rinnegata per aver sostenuto Trump.
La narrazione era sospettosamente convincente – perché era una bufala. Sebbene abbia rapidamente restituito i soldi che ha raccolto, ha anche mostrato con quanta facilità puoi sfruttare la generosità delle persone.
Truffe di P&D ovvero ‘Pump and Dump’ servono a gonfiare artificialmente il valore di una valuta
La criptovaluta è spesso la forma di pagamento nelle truffe online, ma in una truffa, la cripto stessa è la frode. Le truffe di investimento sono sempre state destinate a prosperare online. Usando il web verso un target di massa di potenziali investitori, un truffatore può commettere quello che è categoricamente vietato dalla Securities and Exchange Commission, ovvero “pompare“ artificialmente il valore delle azioni agli occhi delle masse per poi “far crollare” il valore delle azioni su un rendimento falsamente inflazionato.
Secondo The Outline, migliaia di persone si ritrovano online su app come Discord e complottano per “pompare e scaricare” criptovalute (note come “shitcoins” e “scamcoin” a quelli ingannati dallo stratagemma):
“[L’] ethos è semplice: compra a poco, rivendi a tanto. L’implicazione è che gli investitori al di fuori del gruppo P&D vedranno il rapido aumento del prezzo e avranno fretta di acquistare, ansiosi di non lasciarsi scappare la prossima corsa all’oro in stile Bitcoin”, ha scritto Paris Martineau di The Outline.
E le notizie-bufala possono alimentare il problema
La manipolazione online si spinge anche oltre. Secondo Buzzfeed, diffondere notizie false online è una delle tattiche “pump” usate dai truffatori per derubare gli sprovveduti in quella foresta del tutto non regolamentata che è la criptovaluta.
“Ci sono molti gruppi che si sono concentrati sulla disinformazione”, ha detto Laz Alberto, un investitore di criptovalute ed editore della newsletter Blockchain Report, ai giornalisti di BuzzFeed Ryan Mac e Jane Lytvynenko nel 2018. “Ovviamente è illegale, ma non c’è alcuna regolamentazione e quindi hanno potuto farlo indisturbati.”
Un fondatore di criptovalute è stato anche lui stesso obiettivo di una notizia falsa nel 2017, quando si diffuse la notizia che Vitalik Buterin, cofondatore della criptovaluta Ethereum, era morto in un incidente automobilistico.
Le false notizie sulla morte di Buterin fecero crollare nel mercato la valutazione di Ethereum – e in seguito rimbalzò in alto, quando il vivissimo Buterin in carne ed ossa sfatò la voce.
