La nuova/vecchia cyber-truffa è stata adattata alla crisi energetica e ai problemi relativi al riscaldamento per il prossimo inverno per le difficoltà nell’approvvigionamento del gas: sfruttando un classico schema di smishing ben congeniato, i criminal hacker truffano gli ignari utenti usando come esca un’offerta per l’acquisto del pellet.
Ovviamente la truffa dell’e-commerce, basata sul mancato invio della merce a fronte di una transazione bancaria era già nota: si individua un prodotto di interesse, si contatta il fornitore, si contratta sul prezzo, si pattuisce una transazione normalmente con un anticipo percentuale dell’ammontare (caparra) e poi il saldo a ricezione della merce.
Nel caso della frode, purtroppo la merce non arriverà mai. E la caparra andrà persa.
Inutile rincorrere il fornitore: risulteranno dati falsi, generalità rubate, email non congrua e conto di bonifico (spesso paypal o carta di debito (ricarica) di vari tipi).
Smishing: cos’è e come funziona il phishing che usa gli SMS come esca
Indice degli argomenti
Qual è la novità della truffa del pellet
La pressione psicologica. Tutto l’hacking human si basa su diversi aspetti:
- una call-to-action velocissima e compulsiva;
- un’emergenza, un’urgenza, una necessità impellente (una fattura scaduta da saldare, la comminazione di una multa, una occasione di acquisto scontata ecc.);
- una (illusoria) confidenza con lo strumento (un fornitore fidato, un sito conosciuto, un numero di telefono noto);
- una concomitanza di eventi che non si ritengono casuali (una telefonata dal fornitore mentre si è sul sito, un sms all’ingresso in una chat).
La truffa del pellet, versione cyber punk
Con l’inverno e la crisi dei combustibili fossili relativa alla situazione bellica instauratasi, molti provano a fare scorte di legna e pellet. L’ordinaria amministrazione era l’acquisto su siti e-commerce veloce ed efficace con molti mezzi a disposizine (diverse carte di credito, vari metodi di e-payement, multicanalità: email, SMS, chat).
Inoltre, il sito e-commerce funziona da “escrow” cioè da garante: una volta avviata la transazione, trattiene il denaro senza rilasciarlo al fornitore ma avvertendo il fornitore che il denaro esiste ed è disponibile non appena l’acquirente avrà dichiarato di aver ricevuto la merce non danneggiata e di essere soddisfatto, rilascerà la somma sul conto del fornitore.
Fin qui, ordinaria amministrazione.
Come avviene, allora, questa nuova truffa grazie agli strumenti a disposizione degli hacker criminali?
Il kit del criminale contiene cinque strumenti:
- una forte esca con grande appetibilità sul mercato per scarsità e occasione commerciale, meglio se combinate: ad esempio il combustibile fossile in concomitanza di una imminente crisi energetica, a “buon mercato”;
- una falsa identità con cui si è iscritto come fornitore al sito di e-commerce;
- un falso conto su paypal o su carta di debito o su qualunque altro metodo, acquistabili su Dark Web;
- un server di telecomunicazione per simulazione di chiamate telefoniche (Spoofing) o di falsi SMS (smishing) attraverso un numero non reale: un server all’estero genera una chiamata intestando il numero telefonico con lo stesso numero del sito di ecommerce;
- una falsa pagina web per l’inserimento di credenziali molto fedele all’originale del sito di ecommerce, ma ovviamente fraudolenta, e residente su un server posizionato in zone fuori dalla giurisdizione italiana (per esempio anziché subito.it: subitoitalia.lol).
A questo punto, la truffa può aver luogo svolgendosi nella seguente dinamica:
- Si cerca la merce: il pellet. Se ne trova un bancale in offerta e lo si acquista su un sito e-commerce che fa da “escrow”, perché giustamente non ci si fidi e si vuole un intermediario “fidato”. Si accede, si inseriscono i propri dati, si ordina il proprio bancale di pellet che normalemente oscilla tra i 500 e gli 800 euro a seconda dei quintali.
- Dopo un po’ il frodatore ci scriverà sulla chat del sito intermediario di e-commerce e ci dirà che manca qualcosa, ad esempio occorre rettificare l’indirizzo inserito di spedizione e attende che ci si colleghi in chat: la trappola è pronta.
- Non appena ci si collega in chat, scatta la trappola: il criminale telefona (perché ovviamente in possesso del numero di cellulare, richiesto in modo fraudolento prima dell’acquisto) e rivela che manca una specifica sull’indirizzo di consegna.
- A quel punto, mentre gli rispondiamo che siamo proprio in chat per questo motivo e che siamo al corrente del problema e vogliamo completare i dettagli di recapito, il criminale ci rivela che ci sta inviando un link via SMS per cambiare i dati.
- La trappola è pronta: basta cliccare sul link SMS ed è finita.
- Si verrà reindirizzati in un sito civetta dell’ecommerce che chiederà di inserire le credenziali e-commerce per cambiare l’indirizzo e inserire quello corretto.
- Il criminale riaggancerà il telefono, ruberà le credenziali, entrerà in nostra vece e confermerà la ricezione anzitempo al nostro posto sbloccando il pagamento sul proprio conto falso (ovviamente fraudolento) del criminale.
Come essere accorti
Normalmente il dibattito con il venditore assume toni sospetti: vengono fatte richieste atipiche o si assume un linguaggio passivo-aggressivo nella richiesta di dettagli come un numero di cellulare privato per “agganciare” la vittima su una pista non controllabile dal sito di e-commerce, fuori dalla chat, fuori dalla email interna al sito e via dicendo.
Abbiamo provato anche noi: ecco come è andata
Per comprendere meglio i meccanismi della nuova truffa del pellet abbiamo provato ad acquistarne un bancale a 850 euro.
Per rispetto del sito di e-commerce e dei dati privati abbiamo eliminato i dettagli specifici ed ecco il risultato: abbiamo contattato “Giuseppe”.
![](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/09/word-image-57889-1.jpg)
“Giuseppe” (nome di fantasia) è iscritto da 2 anni (verosimile) non ha recensioni e ha pubblicato un solo articolo.
L’articolo è questo: un bancale di sacchi di pellet di buona qualità al prezzo di da 850 euro.
![](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/09/word-image-57889-2.jpg)
L’immagine è presa da Internet, ovviamente, ed è generica. Se volessimo, potremmo sottoporla a Google Image Search per vedere dove si trova.
Ovviamente, il fatto che il magazzino, la disposizione e la proposizione sia la stessa identica di “Giuseppe” dovrebbe darci da pensare. Strano no? O Giuseppe abita lì, o lavora lì o l’ha presa da quel sito. Oppure, magari, ha solo incollato la foto. Però ci sta. È strano, però, che qui il bancale costa 336 euro mentre sul sito Giuseppe lo vende a 850 euro. Qualche sospetto viene.
A questo punto il secondo passo: Giuseppe ci richiederà con noncuranza il numero di cellulare:
![](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/09/word-image-57889-3.jpg)
E questo servirà quando ci invierà attraverso un SMS la pagina falsa da cliccare per inserire le credenziali con il pretesto di correggere l’indirizzo.
![](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/09/word-image-57889-4.png)
Come evitare la truffa del pellet
La nostra esperienza diretta ci insegna che non cliccare comunque mai nessun link su SMS “paralleli”. Mai. È importante fare tutte le verifiche del caso continuando a interloquire con l’e-commerce, con la banca o con la finanziaria in modo diretto.
Inoltre, bisogna sempre rifiutarsi categoricamente e cordialmente di procedere scambiando recapiti telefonici esterni.
![](https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2022/09/word-image-57889-5.png)
Come rimediare se si è stati truffati
- Denunciare subito alla polizia postale e mandare copia della denuncia al sito di e-commerce disponendo di non rilasciare il pagamento (hanno 3 giorni per pagare).
- Rivolgersi a un avvocato se il sito di e-commerce intende non dar peso alla questione: se il pagamento è con strumenti elettronici come Paypal si ha tutto il tempo di bloccare il pagamento, anche perché molto probabilmente il conto del proprio interlocutore è un conto anch’esso falso.