Phishing Avanzato: racconto di una nuova intricata truffa su Facebook Marketplace

“Ciao Mario, il tuo pacco è stato consegnato in data xx/xx/xx al punto di consegna. Vedi dove puoi ritirare il tuo pacco qui”. Se questo messaggio ti suona familiare anche tu hai subito uno dei tentativi di phishing online più diffusi. Il presunto truffatore in questo caso, fingendosi una nota compagnia di consegne, richiede una conferma dei dati al destinatario del messaggio. In questo modo è in grado di acquisire denaro o pacchetti dati dettagliati da rivendere online, azionando così un infinito ciclo di truffe da terze parti. Secondo Statista questo tipo di truffe sono aumentate del 56% a livello globale nell’ultimo biennio, con una grande diversificazione nei metodi al fine di accrescere l’efficacia.

Tra le numerose tecniche di phishing, anch’io recentemente sono incappato in un meccanismo tanto contorto quanto efficace. Dovendo ammettere di averci per un attimo quasi creduto, ho ritenuto importante fare informazione sul tema, in quanto nelle mie ricerche sul web, non ho riscontrato alcuna menzione a questo specifico meccanismo, e quindi nessun articolo che permettesse di tutelarsi di fronte ad un simile tentativo di frode.

Partiamo dal principio: nell’ultimo anno ho vissuto per motivi personali e lavorativi in Finlandia. In questo paese il mercato dei mobili usati, principalmente su Facebook Marketplace, è particolarmente florido. Chi lascia casa di solito si trova a dover vendere parte dell’arredamento, mentre chi ne affitta una nuova ricerca online mobili più adatti al nuovo spazio abitativo. Così, dovendo lasciare a malincuore il paese più felice del mondo, mi sono ritrovato anche io a vendere il mio amato divano. Sfruttando i potenti mezzi forniti da Meta, vengo immediatamente contattato dai primi compratori. Tutto normale penso, il mio divano era davvero bello. Le mie risposte seguono l’antica legge del ‘chi prima arriva meglio alloggia’, contatto quindi la prima compratrice che mi propone di mandarmi un corriere dal servizio Postale Finlandese (Posti Oy) tramite Fedex, per consegnare manualmente una busta contenente la cifra richiesta, e quindi ritirare il suo acquisto.

phishing marketplace

Dal principio la procedura non mi è parsa particolarmente lineare, tuttavia cosa può saperne un Italiano dei vari metodi di acquisto online utilizzati dai finlandesi? Inoltre, in fin dei conti, non avrei consegnato il divano fino alla ricezione del denaro, non avevo quindi nulla da perdere. La seconda richiesta mi appare però alquanto strana. Dopo avermi richiesto l’indirizzo e l’indirizzo mail (mea culpa averli condivisi ma per il giornalismo investigativo si fa questo ed altro) mi arrivano questi messaggi.

phishing marketplace

Riassumendo, mi si chiede di pagare 50 euro di assicurazione che mi verranno aggiunti in busta. A questo punto mi sorgono i primi dubbi, controllo quindi la mia casella di posta non trovando la fantomatica ricevuta inviata da Fedex. Inizio a ricaricare compulsivamente la pagina, fino a che non controllo la mia cartella Spam dove noto subito questo messaggio:

phishing marketplace

E’ scritto in Comic Sans! Un complesso sistema di messaggi, account falsi e storie strappalacrime per poi usare il Font più truffaldino e meno professionale sul mercato, non me ne venga Vincent Connare, il celebre inventore del carattere. A questo punto mi entra però in circolo una dose di empatia e senso di colpa immotivato. Si tratta al 99% di una truffa ma se così non fosse? Sto facendo perdere a una povera ragazza finlandese 130 euro solo per i miei complessi di fiducia? Viviamo davvero in una società scettica e malfidata che vede il male ovunque? La risposta  è ovviamente sì. Motivo per cui ho deciso di approfondire la questione con due obiettivi: acquisire maggiore certezza e rimuovere ogni possibile rimanente senso di colpa; andare fino in fondo e offrire alle future vittime di questa truffa un metodo per evitarla.

Come si acquisisce la certezza di trovarsi di fronte ad una truffa? Non esiste una regola aurea, ma alcune accortezze ti permetteranno di acquisire un certo grado di sicurezza.

  • Verifica l’account;
  • Verifica dell’indirizzo email;
  • Controlla il metodo di pagamento.

Verifica l’account

Comincio quindi dall’Account Facebook che mi ha contattato: la foto profilo è un selfie potenzialmente autentico e non offre alcun risultato da una prima ricerca su Google Immagini (consiglio sempre di fare un tentativo in questi casi). Il profilo presenta decine di altre immagini, ma sono tutte immagini di stock, paesaggi poco identificabili e card con frasi motivazionali. Bene, probabilmente ci troviamo di fronte a un profilo falso, nonostante numero di amici e ‘mi piace’ alle foto, dicano altrimenti. Se dovessimo dare un punteggio agli elementi della truffa, probabilmente il profilo è da 7/10, bel tentativo di usare una foto realistica e popolarlo di numerosissimi contenuti.

Verifica l’indirizzo email

Liquidata la pratica del profilo passiamo ora alla mail ricevuta, ed in particolare all’indirizzo utilizzato ovvero postigroupoyjtransactiononline@gmail.com. No comment, voto 5/10 ad essere buoni. L’utilizzo di un account gmail da parte di una compagnia nazionale o internazionale è pressoché impossibile, ricordiamolo.

Controlla il metodo di pagamento

Analizziamo quindi il portale di pagamento utilizzato, recharge.com. Secondo Trust Pilot si tratta di un portale estremamente sicuro, che tuttavia viene utilizzato per ricaricare buoni da utilizzare su servizi online come Netflix, Amazon o Playstation. Possibile che Fedex e il Servizio Postale Finlandese si affidino ad un servizio di pagamento esterno? Ovviamente no, come suggerito da un’analisi di Business Insider, le principali compagnie di consegna non si affidano mai a servizi esterni ed in generale quando si effettuano compravendite online è bene affidarsi sempre a portali di pagamento riconosciuti. A questo elemento della truffa possiamo però dare un 6.5/10, l’utilizzo di un portale per i pagamenti sicuro nel suo ambito garantisce una certa autorevolezza alla procedura.

La media dei voti dati a queste componenti supera la sufficienza, nonostante si tratti di una valutazione completamente arbitraria, questo mi spinge a compiere un’ulteriore verifica per amore della verità. Decido di inviare una mail a Fedex e Posti Oy per richiedere se offrano questo tipo di servizio. Entrambe le aziende mi rispondono di no e mi suggeriscono la sezione del loro sito che si occupa di prevenzione e denuncia di tentativi di phishing. Sono certo quindi che si tratti di un tentativo di raggiro. Possiamo ora toglierci un ultimo sfizio e contattare la presunta truffatrice con tono educatamente passivo aggressivo, segnaladole che il servizio da lei utilizzato è una frode riconosciuta, ed aggiungendo che Fedex ha chiesto di riportare gli account che utilizzano impropriamente il nome legale dell’azienda. La risposta è inequivocabile:

 

L’indagine su questo tentativo di truffa si conclude con una vittoria, e per quanto il risultato possa sembrare scontato vorrei che ti soffermassi un momento su quanto intricato sia stato questo tentativo di phishing per ‘rubare’ cinquanta euro. Parliamo di un account falso sapientemente curato per sembrare veritiero, una mail falsa, un sito di appoggio per i pagamenti verificabile e sicuro e una storia particolarmente efficace. La stessa     richiesta di denaro non avviene in modo diretto ma tramite la condivisione del codice di un buono acquisto su recharge.com, che ufficialmente andrebbe inviato alla finta mail di Fedex.

In questo caso, nonostante l’articolato sistema di indirizzi email, account falsi e sistemi di pagamento verificabili, sono riuscito ad intercettare la truffa. Eppure c’è una domanda che continua a ronzarmi in testa. Una domanda che merita di essere sottoposta a chi – come te – ha fatto lo sforzo di arrivare fino in fondo. Se la mail inviata fosse apparsa maggiormente veritiera, e l’indirizzo e-mail più sensato (magari delivery@fedexinvoice.org) ci saresti cascato? Personalmente ritengo che solo effettuando tutte le verifiche e i passaggi descritti in precedenza sia possibile acquisire la certezza di trovarsi di fronte a una truffa. In conclusione, ti consiglio di non dare per scontata la tua capacità di riconoscere istintivamente una truffa. Come visto in questo articolo, le tattiche di phishing diventano sempre più articolate e complesse. In casi come questo, la capacità di analisi e la caparbietà nella ricerca della verità rappresentano due strumenti imprescindibili per riconoscere i trucchi del camaleontico mondo delle truffe online.

 

 

Fonti

  • Delfino, D. (2023) The best tips and advice for selling items on Facebook Marketplace. Business Insider. da: https://www.businessinsider.com/guides/tech/how-to-sell-on-facebook-marketplace?r=US&IR=T
  • Fedex (2023) How to recognize and help prevent fraud. Fedex.com
  • Lea, S. E., Fischer, P., & Evans, K. M. (2009). The psychology of scams: Provoking and committing errors of judgement
  • Statista (2023) Value of e-commerce losses to online payment fraud worldwide from 2020 to 2023. Statista
  • TrustPilot (2023) Analisi su Recharge.com, consultato il 27.08.2023 da: https://it.trustpilot.com/review/www.recharge.com

 

Credits

Immagine di copertina: Pexels