08.04.2025 - L’Ufficio federale della cibersicurezza (UFCS) mette ripetutamente in guardia dalle truffe tramite annunci. Gli annunci offrono ai truffatori molteplici possibilità di attacco. Tra le varianti più in voga vi sono la vendita di merci inesistenti e il mancato pagamento di merci acquistate e già spedite. Nel cosiddetto phishing tramite annunci, i truffatori mirano a mettere mano ai dati della carta di credito e a impadronirsi dei conti Twint o persino dell’e-banking. Nelle ultime settimane si è registrato un forte aumento delle segnalazioni relative a questo tipo di truffa.
L’UFCS mette ripetutamente in guardia dalle truffe tramite annunci, poiché queste piattaforme offrono una grande varietà di possibilità di attacco. Nelle ultime settimane si è registrato un aumento preoccupante delle segnalazioni di phishing tramite annunci: mentre un anno fa i casi notificati erano poco meno di 50, a febbraio 2025 le notifiche sono passate a oltre 250.
Il tentativo di frode ha inizio con una vendita su una piattaforma di annunci, dove è normale che un potenziale acquirente si faccia vivo poco dopo la pubblicazione dell’annuncio. Acquirente e venditore trovano rapidamente un accordo, a cui segue uno scambio di messaggi su WhatsApp per discutere le modalità di pagamento. L’acquirente suggerisce un metodo di pagamento di una nota azienda, di solito la Posta, e invia un link su cui la vittima deve cliccare per riscuotere il denaro che l’acquirente ha presumibilmente già trasferito. Le pagine che si aprono hanno sì un aspetto talmente realistico da suscitare fiducia, ma sono invece concepite per sottrarre dati sensibili come informazioni bancarie o sul conto. Sebbene contenga il nome dell’azienda nota, anche il link è scelto in modo tale da reindirizzare in realtà alla pagina del truffatore.
Il sito web viene personalizzato a seconda del venditore per renderlo più credibile, ad esempio adattando il prezzo all’offerta e talvolta inserendo anche una foto dell’oggetto venduto.
Nella fase successiva, è possibile scegliere se il denaro deve essere trasferito sulla carta di credito o su Twint. Se si seleziona la prima opzione, è necessario inserire i dati della carta di credito: ed ecco che il phishing della carta è servito. Se invece si sceglie Twint, si viene reindirizzati a una pagina con i loghi Twint di diverse banche, come avviene anche in molti negozi online.
Cliccando sul simbolo corrispondente si apre una copia esatta della pagina di login della banca in questione. Una volta inseriti il numero di contratto, lo username e la password, appare una schermata che invita ad attendere e a non chiudere la finestra, onde evitare l’interruzione della procedura di login. Questo è un segnale del fatto che, in background, i truffatori stanno cercando di accedere all’e-banking. Tutti i conti di e-banking sono protetti tramite autenticazione a due fattori. Username e password non sono sufficienti, è necessario anche il secondo fattore, che viene richiesto solo dopo aver avviato la procedura di login. I truffatori effettuano quindi l’accesso in background e ingannano la vittima facendola aspettare.
In effetti, dopo un po’ appare una finestra di supporto in cui viene chiesto, ad esempio, se si è in possesso di un lettore di carte. A questo punto, i truffatori comunicano alla vittima quale codice deve inserire nel lettore di carte. I truffatori lo hanno ricevuto dopo aver inserito username e password. Se la vittima inoltra il codice ai truffatori, questi hanno accesso al portale di e-banking. L’UFCS non ha modo di sapere se, alla fine, i truffatori utilizzano questo accesso per un addebito diretto o se con questi dati di accesso tentano di trasferire su un altro numero il conto Twint collegato al conto bancario.
Possibilità di attacco diretto al conto prepagato Twint
In un’altra variante si fa credere che il presunto acquirente abbia già trasferito il denaro e che il venditore possa quindi farselo versare sul proprio conto prepagato Twint. Per farlo, deve solo fornire alcuni dati di accesso, che in una prima fase sono il numero di telefono e il PIN di Twint. Con questi dati, i truffatori cercano di trasferire il conto sul loro dispositivo e quindi di attivare l’invio di un codice di sicurezza, che viene mandato alla vittima tramite SMS. Solo se si conosce questo codice è possibile trasferire effettivamente il conto TWINT. Per questo motivo, in una seconda fase i truffatori cercano di spingere la vittima a inoltrare a loro anche questo codice. Con questo codice e il PIN di Twint a sei cifre inserito in precedenza, i truffatori possono mettere le mani al conto Twint della vittima e accedervi direttamente.
Attacco ai dati della carta di credito come ripiego
Ma non è finita qui: nel caso qualcosa andasse storto o se loro non fossero online, i truffatori hanno creato un’altra trappola in cui la vittima viene reindirizzata su un’altra pagina di phishing che richiede l’inserimento dei dati della carta di credito. In questo modo i truffatori possono almeno impadronirsi di questi dati per poi usarli in modo illecito.
Raccomandazioni
- Se dovete ricevere denaro in quanto venditori, non dovete mai fornire i dati della vostra carta di credito, i dati di accesso all’e-banking o un codice Twint.
- Non comunicate mai codici ricevuti per messaggio.
- Non cliccate sui link contenuti in messaggi sospetti: non inserite mai dati personali su siti web che avete aperto da un’e-mail sospetta o da un SMS.
- Non spedite la merce finché il prezzo d’acquisto concordato non è stato accreditato sul vostro conto, oppure concordate il pagamento in contanti al momento del ritiro della merce. Non accettate pagamenti con assegni.
- Quando si effettuano pagamenti, non fidatevi delle conferme di pagamento inviate via e-mail, perché potrebbero essere falsificate. Verificate sul vostro conto se il pagamento è stato accreditato integralmente.
- Fate attenzione se l’acquirente vuole pagare più di quanto concordato inizialmente.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 08.04.2025
