27.02.2024 - Le frodi tra i piccoli annunci sono tra i reati più frequentemente denunciati alla polizia. Il fatto che si tratti di un’attività redditizia per i malintenzionati è dimostrato dall’inesauribile creatività degli espedienti attuati a scopo di truffa. Nel mirino di tre nuove varianti segnalate all’UFCS nelle ultime settimane troviamo alcuni utenti dell’app di pagamento TWINT, caduti vittima di una trappola.
Variante con trasferimento del conto TWINT
Tra i bersagli dei truffatori dietro i piccoli annunci non troviamo solo gli acquirenti. Infatti, a essere presi di mira ci sono anche gli inserzionisti stessi, come dimostra un caso segnalato all’UFCS la scorsa settimana. L’autore della segnalazione aveva messo in vendita una console per videogiochi su una piattaforma svizzera di piccoli annunci. Non ha dovuto aspettare molto tempo prima di trovare qualcuno interessato all’acquisto. L’acquirente voleva pagare tramite TWINT e ha richiesto il numero di telefono del venditore. Pochi minuti dopo ha ricevuto un SMS che confermava che il pagamento era andato a buon fine. Tuttavia, per confermare la ricezione e ricevere il denaro, bisognava cliccare su un link che portava a una pretesa pagina del portale di annunci con un’altrettanto pretesa chat di TWINT. La chat conferma innanzitutto che l’importo era già stato trasferito. Tuttavia, appariva anche un avviso circa un recente aumento dei tentativi di frode, che quindi richiedeva di rispondere prima a una serie di domande di sicurezza per poter effettuare il pagamento.
Durante questo “processo di sicurezza”, oltre al nome, alla data di nascita, al PIN di TWINT, al numero della carta di debito e alle ultime 5 cifre dell’IBAN, era necessario inserire anche il proprio nome e il cognome. La vittima ha poi ricevuto un ulteriore codice SMS, che doveva essere inserito nella pagina della chat per ottenere la conferma. Dopo aver inviato tutte queste informazioni, invece del denaro la vittima ha ricevuto un messaggio in cui si diceva che un nuovo numero di telefono era stato aggiunto al suo conto TWINT. Sono seguiti i primi addebiti diretti. La vittima aveva quindi inviato al truffatore tutti i dati di login e gli estremi di sicurezza, permettendo quindi al malfattore di accedere al conto da un nuovo dispositivo con questi dati ed effettuare transazioni a piacimento.
I malfattori hanno verosimilmente sfruttato una funzione che consente di collegare il conto TWINT già esistente a un nuovo dispositivo e persino a un nuovo numero di telefono in caso di cambio o smarrimento del cellulare. Oltre all'inserimento dei dati personali e del PIN TWINT dopo il download dell'app, gli standard di sicurezza di TWINT richiedono anche un'autorizzazione a due fattori via SMS per un eventuale cambio di dispositivo o numero. In questo caso, le domande di sicurezza corrispondevano esattamente alle informazioni richieste dai truffatori. L’UFCS presume quindi che i malintenzionati abbiano sfruttato un cosiddetto processo di «reboarding», cercando quindi di carpire i dati di accesso personali e gli estremi di sicurezza dei malcapitati.
Variante con presunto rimborso
In molti casi di frode sui piccoli annunci i truffatori chiedono agli acquirenti pagamenti anticipati per articoli che poi non consegnano. Tuttavia, anche in questi casi i malintenzionati cercano di spolpare ancora di più la vittima. In un caso recente, ad esempio, non si erano limitati al pagamento anticipato. Dopo poco tempo, l’impostore ha ricontattato il malcapitato comunicando un disguido postale: durante la spedizione il pacco era stato danneggiato. Tuttavia, compenserà ovviamente i danni rispedendo il denaro tramite TWINT. Ma invece di un rimborso, il truffatore ha inviato tramite la piattaforma di pagamento una richiesta di pagamento. Se la vittima non fa attenzione e clicca su «accetta», viene ingannata due volte. La ricezione di denaro sull’app di TWINT non richiede mai la conferma attiva da parte dell’utente.
Ulteriore variante con presunto rimborso
In una variante simile, il venditore si rimette in contatto con l’acquirente e sostiene di essere stato contattato da un’altra persona interessata e disposta ad alzare l’offerta. Tuttavia, è pronto a rimborsare naturalmente il prezzo d’acquisto più un contributo per le spese. Per recuperare il denaro, la vittima deve scansionare un codice QR con l’app Twint. Tuttavia, il codice QR inviato non ha nulla a che fare con un rimborso; al contrario, attiva un pagamento a un negozio. In questo modo i truffatori cercano solitamente di ottenere dei buoni d’acquisto.
Misure precauzionali
- Non inoltrate mai i codici ricevuti via SMS, e-mail o telefono.
- Non inserite dati personali in moduli aperti tramite un link in un’e-mail o un messaggio di testo.
- Mantenersi cauti nell’interazione con persone sconosciute su piattaforme online.
- Siate cauti quando effettuate un versamento e controllate i dati prima di confermare l’operazione.
- Definite dei limiti a tutte le possibilità di pagamento secondo il vostro budget e il grado di sicurezza dei mezzi di pagamento, in particolare per quelli che utilizzate online (su Internet) o senza contatto.
- Non usate mai codici QR ricevuti da fonti non affidabili.
- Se sospettate intenzioni fraudolente da parte di un venditore, interrompete immediatamente la comunicazione e ignorate le e-mail successive.
- Informate la piattaforma di annunci nonché il supporto clienti della vostra banca riguardo all’accaduto, in modo che possa bloccare l’acquirente o il venditore e le relative offerte.
Ulteriori informazioni e istruzioni di sicurezza sono disponibili direttamente sul sito ufficiale di TWINT:
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 27.02.2024
