Vai al contenuto

truffe

Account Paypal veri che sembrano falsi, mistero di famiglia risolto

Le eredità digitali sono un gran casino. Chiunque si sia trovato a gestire un lutto in famiglia oggi si trova confrontato con una sfida in più: districarsi nei vari account social e di servizi online di chi non c’è più e difficilmente ha lasciato istruzioni dettagliate e aggiornate su cosa sono e cosa farne. Con la spedizione delle bollette via mail e le comunicazioni delle aziende che arrivano sempre più spesso via WhatsApp, c’è il rischio di trovarsi con pagamenti in sospeso, multe e sanzioni di cui non si sa nulla. Viceversa, ci possono essere soldi custoditi online, sotto forma di conti PayPal o in criptovalute, che può essere interessante recuperare.

Tutto questo è ovviamente un territorio di caccia molto fertile per i truffatori, per cui a gennaio scorso, quando ho ricevuto delle mail a prima vista provenienti da Paypal sulla casella di mail di mio padre (morto cinque anni fa), con un invito a leggere e accettare le condizioni di contratto aggiornate, ho pensato subito a un classico phishing e le ho ignorate, sapendo che mio padre non era assolutamente il tipo di persona che avrebbe aperto un conto Paypal. E se anche l’avesse fatto, ne avrebbe preso nota (rigorosamente su carta, insieme a tutte le sue password). Nessuno in famiglia ne sapeva nulla.

Ma le mail hanno continuato ad arrivare, e il mittente sembrava essere realmente Paypal, per cui mi sono incuriosito. Vi racconto questa vicenda perché potrebbe essere utile per altre persone che si trovano nella mia stessa situazione.

Ho cercato in lungo e in largo, anche con strumenti di informatica forense, nei backup e nelle immagini disco che avevo fatto dei dispositivi di mio padre, ma non ho trovato la minima menzione di un account Paypal. Non avendo la password dell’account non potevo entrare nel conto; avendo la mail, potevo farmi mandare un link di reset della password, cosa che ho fatto. Il link mi è arrivato e portava effettivamente al sito di Paypal, che accettava la richiesta di reset di un conto associato alla mail di mio padre, a conferma che l’account era reale e non si trattava di un phishing.

Ma è emerso che l’account era protetto dall’autenticazione a due fattori (2FA), per cui il link di reset richiedeva il codice numerico temporaneo che veniva mandato via SMS. Il mistero si è quindi infittito, per due ragioni: mio padre non usava mai la 2FA, nonostante le mie perenni suppliche di mettersi in sicurezza, e il numero di telefono associato all’account (che potevo vedere in parte durante la procedura di reset) era un numero fisso, quello della sua abitazione, sul quale sarebbe stato impossibile anche per lui ricevere un SMS di autenticazione. La situazione non aveva alcun senso logico.

A questo punto mi trovavo con un account Paypal confermato come reale, in apparenza intestato a mio padre, ma inaccessibile. Non era phishing, non sembrava un account creato da mio padre; quindi come altro si poteva spiegare questo stato di cose?

La mia prima ipotesi è stata che si trattasse di un account aperto fraudolentemente a suo nome. Il suo indirizzo di mail e il suo numero di telefono erano facilmente reperibili online; qualcuno potrebbe averli usati per creare un account per qualche truffa. Nel qual caso su quel conto potevano esserci dei soldi… Non miei, certo, ma comunque soldi, da restituire se possibile ai derubati.

La cosa è rimasta ferma per qualche mese, intanto che ci rimuginavo sopra e inseguivo le infinite emergenze di lavoro e di famiglia che sembrano costellare la mia vita da qualche anno (a proposito, scusate se scrivo poco su questo blog ultimamente, ma sto facendo fatica a stare a galla in termini di risorse mentali e di sonno).

Qualche giorno fa è arrivata sulla casella di mail di mio padre l’ennesima mail di Paypal che mi ricordava di accettare le condizioni di contratto aggiornate, e così ho deciso di andare a fondo della questione. Invece di chiedere il reset della password, ho tentato di entrare nell’account Paypal usando le varie password che adoperava mio padre; tentativo disperato, lo so, soprattutto se l’account era stato aperto da un truffatore, ma non mi restavano altre vie percorribili.

Dopo alcuni tentativi falliti, bingo! Non sono riuscito a entrare nell’account, ma mi è comparso l’invito a contattare Paypal per risolvere il problema di accesso. Fra i metodi di contatto c’era anche un numero di telefono, e ho provato a usarlo: spiegare a voce tutta la situazione sarebbe stato infinitamente più facile che farlo per iscritto, e avrei potuto fornire subito eventuali elementi di autenticazione.

Il numero è 800 975 345 per chi chiama dall’Italia da telefono fisso. Per chiamare da cellulare o dall’estero, il numero di Paypal è +39 06 8938 6461. Gli operatori rispondono dalle 9 alle 19.30 italiane.

Ovviamente, da informatico che documenta truffe da una vita, mi sono messo nei panni di un operatore Paypal che riceve da un numero svizzero una telefonata del tipo “Salve, sono l’erede del signor Taldeitali ma non ho la password del suo account, mi può aiutare a prenderne il controllo?” e mi sono reso conto che le probabilità di essere creduto sulla parola per telefono erano veramente esigue. Ma valeva la pena di tentare.

L’operatore che mi ha risposto, Khaled, è stato gentilissimo e molto preciso. Gli ho spiegato con calma la situazione, sottlineando che non mi interessava accedere al conto, almeno per il momento, ma volevo solo sapere se era stato aperto fraudolentemente a nome di mio padre oppure no, perché non riuscivo a immaginare mio padre come titolare di un account Paypal, oltretutto segreto.

L’operatore evidentemente aveva già gestito situazioni di questo tipo e ha individuato molto rapidamente la ragione per cui esisteva l’account Paypal. Non ci sarei mai arrivato da solo. Sì, mio padre aveva davvero un account Paypal, aperto da lui e creato il 3 settembre 2007.

Spoiler: il saldo era zero.

Ho chiesto subito all’operatore se poteva dirmi se il saldo era zero o maggiore di zero, in modo da poter decidere se valesse la pena di avviare la procedura legale di subentro. Nota tecnica: credo che sia importante essere precisi nel formulare le domande, in casi come questi, per non chiedere all’operatore dati che per regolamento o legge non può dare, per cui non ho chiesto il saldo esatto. L’operatore mi ha risposto volentieri che il saldo era appunto zero.

Ma l’operatore mi ha dato anche un’informazione che ha fatto subito quadrare tutti gli indizi: ha detto che l’account era stato aperto automaticamente quando mio padre aveva acquistato una tessera prepagata di Lottomatica. Questo è stato il mio “momento a-HA!”.

Mio padre, infatti, era un accanito giocatore del lotto, con alterne fortune. Aveva perfettamente senso che avesse acquistato una prepagata e che con l’occasione avesse dato il proprio indirizzo di mail e numero di telefono. Aveva sì un account Paypal, ma non sapeva nemmeno di averlo, tant’è che non lo aveva mai confermato per attivarlo pienamente.

E così ora non mi resta che mandare una mail a Paypal, con una copia del certificato di morte, per chiudere l’account e mettere la parola fine a un piccolo mistero di famiglia.

Morale della storia: la realtà è sempre più complessa di quello che si immagina, anche quando si è abituati a pensare che sia complessa. E a volte dietro una mail che sembra phishing c’è una situazione autentica. Questo non vuol dire che si deve abbassare la guardia: i truffatori sono sempre in agguato.

Spero che questo racconto possa essere utile a qualcuno.


Truffe dei codici QR e auto rubate tramite app a “Patti Chiari” (RSI)

Venerdì scorso sono stato ospite della trasmissione Patti Chiari della Radiotelevisione Svizzera per parlare di due tipi di truffa che sono diventati molto diffusi: il furto di denaro tramite codici QR ingannevoli e il furto di auto tramite le rispettive app di gestione.

La puntata è visionabile qui oppure qui sotto (salvo georestrizioni che mi segnalano alcuni commentatori):

Aggiungo qualche link utile per inquadrare meglio i due casi:

  • Il test per sapere se siete in grado di riconoscere un messaggio fraudolento
  • L’approfondimento e le prese di posizione dei soggetti coinvolti nella questione dei codici QR fraudolenti (Twint, BancaStato, Banca Migros)
  • La pagina di Tesla che spiega (in italiano) come funziona l’autenticazione a due fattori (o autenticazione a più fattori, come la chiama Tesla) sulle sue auto (e anche sulla mia)
  • Sottolineo, per maggiore chiarezza, che l’autenticazione a due fattori non va confusa con il PIN di sblocco dell’auto, il cosiddetto PIN to Drive. L’autenticazione protegge l’accesso all’account usato per gestire l’auto tramite l’app; il PIN di sblocco protegge l’auto contro il furto perché è un PIN che va digitato sullo schermo dell’auto, nell‘abitacolo, per consentirne la guida.

Podcast RSI – Il finto Brad Pitt e la sua vittima messa alla gogna

Questo è il testo della puntata del 20 gennaio 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

Probabilmente avete già sentito la notizia della donna francese che ha inviato in totale oltre 800.000 euro a dei truffatori perché era convinta di essere in chat con Brad Pitt e di doverlo aiutare economicamente perché i conti del celeberrimo attore erano bloccati dalla causa legale con l’ex moglie, Angelina Jolie. Se l’avete sentita, probabilmente l’avete commentata criticando l’ingenuità della vittima. Molte persone sono andate oltre e hanno insultato e preso in giro la vittima pubblicamente sui social; lo ha fatto persino Netflix France. Una gogna mediatica rivolta esclusivamente alla persona truffata, senza spendere una parola sulla crudeltà infinita dei truffatori. Ed è stata tirata in ballo l’intelligenza artificiale, che però in realtà c’entra solo in parte.

Questa è la storia di un inganno che in realtà è ben più complesso e ricco di sfumature di quello che è stato diffusamente raccontato, e che permette di conoscere in dettaglio come operano i truffatori online e cosa succede nella mente di una persona che diventa bersaglio di questo genere di crimine.

Benvenuti alla puntata del 20 gennaio 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Questa storia inizia a febbraio del 2023, quando Anne, una donna francese sposata con un facoltoso imprenditore, scarica Instagram perché vuole postare le foto di una sua vacanza nelle Alpi francesi. Viene contattata subito da qualcuno che dice di essere Jane Etta Pitt, la madre dell’attore Brad Pitt, che chatta con lei e le dice che sarebbe la persona giusta per suo figlio. Poco dopo la contatta online qualcuno che afferma di essere Brad Pitt in persona e chiede di conoscerla meglio. Soprattutto vuole sapere se Anne lavora per caso nei media, perché lui ci tiene molto a proteggere la sua vita privata.

Questo contatto insospettisce la donna, ma Anne non conosce i meccanismi dei social network. Non sa, per esempio, che i controlli di Instagram sulle identità degli utenti sono scarsissimi e che quindi il falso Brad Pitt e la sua altrettanto falsa madre sono liberi di agire praticamente indisturbati e di tentare la stessa truffa contemporaneamente con migliaia di persone. Una truffa complessa e articolata, che include fra i suoi espedienti la capacità dei criminali di passare mesi e mesi a circuire una vittima chattando amorevolmente con lei, perché nel frattempo ne stanno raggirando tante altre, in una sorta di catena di montaggio dell’inganno.

Fra questi espedienti ci sono anche trucchi come i finti regali. A un certo punto, il falso Brad Pitt scrive ad Anne, dicendo che ha tentato di inviarle dei regali di lusso ma che non ha potuto pagare la dogana perché i suoi conti correnti sono bloccati dalla causa di divorzio da Angelina Jolie. E così Anne invia ai truffatori 9000 euro. Il servizio attraverso il quale invia il denaro non la avvisa che questa transazione è sospetta.

Anne, invece, si insospettisce parecchie volte durante questo lungo corteggiamento online, ma ogni volta che le viene un dubbio, i truffatori riescono a farglielo passare, mandandole per esempio un falso documento d’identità dell’attore. La figlia di Anne cerca di avvisarla che si tratta di una truffa e tenta di ragionare con lei per oltre un anno, ma la donna è troppo coinvolta emotivamente in questa relazione a distanza. Anche perché questo falso Brad Pitt le ha chiesto di sposarlo, e lei ovviamente ha accettato una proposta così lusinghiera dopo aver divorziato dal marito.

I truffatori giocano anche la carta della compassione oltre a quella della seduzione e della lusinga. Scrivono ad Anne, fingendo sempre di essere Brad Pitt, e le dicono che l’attore ha bisogno di contanti per poter pagare le cure per il tumore al rene che lo ha colpito. Mandano ad Anne delle fotografie false che sembrano mostrare Brad Pitt ricoverato in ospedale. La donna è reduce da un tumore, e quindi i truffatori toccano un suo tasto emotivo particolarmente sensibile.

Anne cerca su Internet le foto di Brad Pitt ricoverato e non le trova, ma giustifica questa mancanza pensando che quelle fotografie siano confidenziali e siano dei selfie scattati specificamente per lei.

E così Anne invia ai criminali tutto il denaro che ha ottenuto dal divorzio, ossia 775.000 euro, convinta di contribuire a salvare la vita di una persona in gravi difficoltà. Anche qui, i servizi di trasferimento di denaro usati dalla vittima la lasciano agire senza bloccare la transazione, che dovrebbe essere già sospetta in partenza per il suo ammontare così elevato.

Quando i giornali che si occupano di gossip legato alle celebrità pubblicano immagini del vero Brad Pitt con la sua nuova compagna, Ines de Ramon, Anne si insospettisce di nuovo, ma i truffatori le mandano un falso servizio televisivo nel quale il conduttore (in realtà generato dall’intelligenza artificiale)* parla di un rapporto esclusivo con una persona speciale che va sotto il nome di Anne. Questo la rassicura per qualche tempo, ma poi Brad Pitt e Ines de Ramon annunciano ufficialmente il loro legame sentimentale. Siamo a giugno del 2024, e a questo punto Anne decide di troncare le comunicazioni.

* Dopo la chiusura del podcast sono riuscito a recuperare uno spezzone [YouTube, a 1:08] di questo servizio televisivo e ho scoperto che il conduttore sintetico è invece una conduttrice, perlomeno in base al suo aspetto.
Un fermo immagine dal finto servizio di telegiornale creato dai truffatori (C à Vous/YouTube).

Ma i truffatori insistono, spacciandosi stavolta per agenti speciali dell’FBI, e cercano di ottenere dalla donna altro denaro. Lei segnala la situazione alla polizia, e vengono avviate le indagini. Pochi giorni fa, Anne ha raccontato pubblicamente la propria vicenda sul canale televisivo francese TF1, per mettere in guardia altre potenziali vittime. E qui è cominciato un nuovo calvario.

Sui social network, infatti, centinaia di utenti cominciano a prenderla in giro. Uno dei più importanti programmi radiofonici mattutini francesi le dedica uno sketch satirico. Netflix France pubblica su X un post nel quale promuove quattro film con Brad Pitt, specificando fra parentesi che il servizio di streaming garantisce che si tratti di quello vero, con una chiara allusione alla vicenda di Anne. Il post è ancora online al momento in cui preparo questo podcast.

Screenshot del post di Netflix France su X.

La società calcistica Toulouse FC pubblica un post ancora più diretto, che dice “Ciao Anne, Brad ci ha detto che sarà allo stadio mercoledì, e tu?”. Il post è stato poi rimosso e la società sportiva si è scusata.

France 24 mostra il post del Toulouse FC.

TF1 ha tolto il servizio dedicato ad Anne dalla propria piattaforma di streaming dopo che la testimonianza della donna ha scatenato questa ondata di aggressioni verbali, ma il programma resta reperibile online qua e là. Anne, in un’intervista pubblicata su YouTube, ha dichiarato che TF1 ha omesso di precisare che lei aveva avuto dubbi, ripetutamente, e ha aggiunto che secondo lei qualunque persona potrebbe cadere nella complessa trappola dei truffatori se si sentisse dire quelle che lei descrive come “parole che non hai mai sentito da tuo marito.”

In altre parole, una donna che era in una situazione particolarmente vulnerabile è stata truffata non da dilettanti improvvisati ma da professionisti dell’inganno, disposti a manipolare pazientemente per mesi le loro vittime usando senza pietà le leve emotive più sensibili, ha deciso di raccontare pubblicamente la propria vicenda per mettere in guardia le altre donne, e ne ha ottenuto principalmente dileggio, scherno e derisione. Uno schema purtroppo molto familiare alle tante donne che scelgono di raccontare abusi di altro genere di cui sono state vittime e di cui la gogna mediatica le rende vittime due volte invece di assisterle e sostenerle.

In questa vicenda, oltretutto, non sono solo gli utenti comuni a postare sui social network commenti odiosi: lo fanno anche professionisti dell’informazione, che in teoria dovrebbero sapere benissimo che fare satira su questi argomenti è un autogol di comunicazione assoluto e imperdonabile.

Mentre abbondano i commenti che criticano Anne, scarseggiano invece quelli che dovrebbero far notare il ruolo facilitatore di queste truffe dei social network e dei sistemi di pagamento. Questi falsi account che si spacciano per Brad Pitt (usando in questo caso specifico parte del nome completo dell’attore, ossia William Bradley Pitt) sono alla luce del sole. Dovrebbero essere facilmente identificabili da Meta, un’azienda che investe cifre enormi nell’uso dell’intelligenza artificiale per monitorare i comportamenti dei propri utenti a scopo di tracciamento pubblicitario eppure non sembra in grado di usarla per analizzare le conversazioni sulle sue piattaforme e notare quelle a rischio o rilevare gli account che pubblicano foto sotto copyright.

Basta infatti una banale ricerca in Google per trovare falsi account a nome di Brad Pitt, che hanno migliaia di follower, pubblicano foto dell’attore di cui chiaramente non hanno i diritti ed esistono in alcuni casi da anni, come per esempio @william_bradley_pitt767, creato a febbraio del 2021 e basato in Myanmar. E lo stesso vale per moltissime altre celebrità. Queste truffe, insomma, prosperano grazie anche all’indifferenza dei social network.

Uno dei tanti account falsi a nome di Brad Pitt su Instagram.
Informazioni sul falso account.

C’è anche un altro aspetto di questa vicenda che è stato raccontato in maniera poco chiara da molte testate giornalistiche: l’uso dell’intelligenza artificiale per generare le foto di Brad Pitt ricoverato. Quelle foto sono in realtà dei fotomontaggi digitali tradizionali, e lo si capisce perché anche il più scadente software di generazione di immagini tramite intelligenza artificiale produce risultati di gran lunga più coerenti, nitidi e dettagliati rispetto alle foto d’ospedale ricevute da Anne.

Fonte: X.com/CultureCrave.

L’intelligenza artificiale è stata sì usata dai criminali, ma non per quelle foto. È stata usata per creare dei videomessaggi dedicati ad Anne, nei quali un finto Brad Pitt si rivolge direttamente alla donna, le confida informazioni personali chiedendole di non condividerle, muovendosi e parlando in modo naturale.

France24 mostra uno dei videomessaggi falsi creati dai truffatori animando il volto di Brad Pitt.

Questi video sono nettamente più credibili rispetto alle false foto del ricovero che circolano sui social media in relazione a questa vicenda; sono forse riconoscibili come deepfake da parte di chi ha un occhio allenato, ma chi come Anne si è affacciato da poco ai social network non ha questo tipo di sensibilità nel rilevare gli indicatori di falsificazione, e non tutti sanno che esistono i deepfake. Mostrare solo quei fotomontaggi, senza includere i video, significa far sembrare Anne molto più vulnerabile di quanto lo sia stata realmente.

La qualità delle immagini sintetiche migliora in continuazione, ma per il momento può essere utile cercare alcuni elementi rivelatori. Conviene per esempio guardare la coerenza dei dettagli di contorno dell’immagine, come per esempio la forma e la posizione delle dita oppure la coerenza delle scritte presenti sugli oggetti raffigurati. Un altro indicatore è lo stile molto patinato delle immagini sintetiche, anche se i software più recenti cominciano a essere in grado di generare anche foto apparentemente sottoesposte, mosse o dilettantesche. Si può anche provare una ricerca per immagini, per vedere se una certa foto è stata pubblicata altrove. Inoltre la ricerca per immagini permette spesso di scoprire la fonte originale della foto in esame e quindi capire se ha un’origine autorevole e affidabile. E ovviamente l’indicatore più forte è il buon senso: è davvero plausibile che un attore popolarissimo vada sui social network a cercare conforto sentimentale?

Fra l’altro, nel caso specifico di Brad Pitt il suo portavoce ha ribadito che l’attore non ha alcuna presenza nei social. In altre parole, tutti i “Brad Pitt” che trovate online sono degli impostori.

In coda a questa vicenda amara c’è però un piccolo dettaglio positivo: il racconto pubblico di questo episodio è diventato virale in tutto il mondo, per cui si può sperare che molte vittime potenziali siano state allertate grazie al coraggio di Anne nel raccontare quello che le è successo. E va ricordato che a settembre 2024 in Spagna sono state arrestate cinque persone durante le indagini su un’organizzazione criminale che aveva truffato due donne spacciandosi proprio per Brad Pitt, ottenendo dalle vittime ben 350.000 dollari.

Non sempre i truffatori la fanno franca, insomma, e se gli utenti diventano più consapevoli e attenti grazie al fatto che questi pericoli vengono segnalati in maniera ben visibile dai media, le vittime di questi raggiri crudeli diminuiranno. Più se ne parla, anche in famiglia, e meglio è.

Fonti

Brad Pitt’s team reminds fans he’s not on social media after a woman gets big-time scammed, LA Times

Brad Pitt AI scam: Top tips on how to spot AI images, BBC

French Woman Faces Cyberbullying After Forking Over $850,000 to AI Brad Pitt, Rollingstone.com

AI Brad Pitt dupes French woman out of €830,000, BBC

French TV show pulled after ridicule of woman who fell for AI Brad Pitt, The Guardian

French Woman Scammed Out Of $850k By Fake ‘Brad Pitt’—And The AI Photos Are Something Else, Comic Sands

How an AI Brad Pitt conned a woman out of €830,000, triggering online mockery, France 24 su YouTube

Une femme arnaquée par un faux Brad Pitt – La Story – C à Vous, YouTube (include approfondimenti, spezzoni del finto servizio televisivo, il commento dell’avvocato della vittima sulle responsabilità delle banche che hanno effettuato i trasferimenti di denaro)

Podcast RSI – Frodi milionarie con numeri di telefono falsificati, in manette i fornitori: il caso Russian Coms

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunesGoogle PodcastsSpotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

[CLIP: Squillo di telefono]

Il vostro telefonino squilla all’improvviso. Sul suo schermo compare il numero della vostra banca. Rispondete, e una voce molto precisa e professionale vi informa, con il tono leggermente spassionato di chi ha detto queste stesse parole infinite volte, che è successo quello che temevate e che un po’ tutti temiamo. Dei criminali informatici hanno avuto accesso al vostro conto corrente.

Per fortuna la vostra banca ha bloccato il tentativo di frode e vi sta chiamando appunto per informarvi della situazione e per chiedervi di smettere di usare le vostre coordinate bancarie attuali e sostituirle con quelle nuove, che vi verranno dettate tra un momento. A voi non resta che trasferire il saldo del conto dalle coordinate attuali a quelle nuove, e tutto sarà a posto.

Ma come avete probabilmente intuito, la chiamata è una messinscena, il numero che compare sul vostro schermo è stato falsificato, la voce è quella alterata digitalmente di un criminale che finge di essere un funzionario antifrode, e le coordinate nuove servono per convincervi a trasferire volontariamente i vostri soldi su un conto controllato dal malvivente.

Fin qui niente di nuovo, ma questa non è la storia dell’ennesimo caso di frode bancaria informatica: è la storia di Russian Coms, un vero e proprio servizio commerciale di assistenza tecnica ai criminali, il cosiddetto crime as a service, che vendeva kit chiavi in mano per aspiranti truffatori e ha permesso di derubare centinaia di migliaia di persone in oltre cento paesi per un totale di svariate decine di milioni di dollari.

Dico “vendeva” perché Russian Coms è stato sgominato dalle forze dell’ordine, arrestando varie persone e soprattutto prendendo il controllo dei server sui quali i criminali gestivano i rapporti con la propria clientela, promettendo discrezione e riservatezza. Ma ora tutti i dati di quei rapporti sono nelle mani degli inquirenti, e sul canale Telegram di Russian Coms è comparso un avviso: “tutto è stato compromesso, non importa quale software stiate usando. Anche tutti gli altri fornitori sono stati compromessi”.

L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.

In altre parole, si salvi chi può.

Questo fuggi fuggi generale è un’occasione rara per gettare luce sulla filiera del crimine informatico e sulle sue tecniche, per riconoscerle e difendersi meglio, ma anche per rispondere a un paio di curiosità che magari vi siete posti: ma dove vanno esattamente i criminali online a procurarsi i ferri del mestiere? Vanno nel dark web? Sono tutti esperti del fai da te informatico, dediti al male? E poi, perché è possibile falsificare il numero del chiamante?

Benvenuti alla puntata del 9 agosto 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Questa storia inizia nel 2021, quando nasce un gruppo di criminali online che si fa chiamare Russian Coms anche se non ha nessun collegamento noto con la Federazione Russa. La sua specialità è offrire ad altri criminali servizi di caller ID spoofing, ossia di falsificazione del numero del chiamante. Servizi che fanno comparire sui telefonini delle persone chiamate un numero appartenente a una banca, a una compagnia telefonica o a una forza di polizia, per conquistare la fiducia di queste persone e aiutare così a carpirne i dati personali, le carte di credito e i soldi.

Russian Coms comincia offrendo ai propri clienti dei telefonini Android appositamente personalizzati, dotati di app finte che li fanno sembrare normali telefoni in caso di sequestro da parte della polizia, di VPN per rendere meno tracciabili le attività criminali per le quali vengono usati, e anche di una app di autodistruzione che cancella istantaneamente la memoria dello smartphone in caso di necessità. Successivamente offre anche lo stesso servizio tramite una web app.

Russian Coms propone contratti di sei mesi che costano circa 1300 euro in tutto, sono pagabili con criptovalute e vengono pubblicizzati su Snapchat, Instagram e Telegram, e su un normalissimo sito Web, Russiancoms.cm. Non provate a visitarlo adesso: non ci troverete nulla. Lo so perché ho provato io per voi.

Avete capito bene: niente dark web, ma tutto sfacciatamente alla luce del sole, sul Web normale, sui social network, come se niente fosse.

Le offerte di contratto sul sito Web di Russian Coms. Fonte: National Crime Agency.

Il servizio è completo e professionale: le chiamate sono cifrate, viene offerto un software che altera la voce in tempo reale, i costi delle telefonate internazionali sono inclusi nel canone, e naturalmente c’è un’assistenza clienti disponibile ventiquattr’ore su ventiquattro, sette giorni su sette. Un livello di customer care invidiabile, migliore di quello di tante aziende regolari.

Gli affari di Russian Coms vanno bene. I suoi clienti arrivano a saccheggiare conti correnti in ben 107 paesi, dagli Stati Uniti alla Norvegia, dalla Francia alle Bahamas. Fra il 2021 e il 2024, gli utenti paganti di Russian Coms effettuano milioni di chiamate a milioni di vittime, fingendo di rappresentare aziende di buona reputazione e facendosi dare soldi per merci mai consegnate, spacciandosi per banche per accedere ai conti correnti delle persone chiamate, e organizzando in alcuni casi il ritiro fisico, fatto di persona, di carte di debito e di credito con la scusa che andavano sostituite per motivi di sicurezza. Il sistema funziona. Nel Regno Unito, per esempio, il danno medio ammonta a oltre 9000 sterline (circa 10.000 euro o franchi) per ciascuna delle circa 170.000 vittime.

Ma a marzo 2024 le cose prendono una brutta piega per i membri di Russian Coms.

Dopo mesi di indagini, gli agenti della National Crime Agency britannica arrestano due uomini di 26 e 28 anni a Londra. Gli inquirenti ritengono che si tratti degli sviluppatori e degli amministratori del servizio.

Nei giorni successivi, il sito di Russian Coms viene disattivato, e il 12 aprile viene arrestato, sempre a Londra, un altro uomo che viene considerato uno degli addetti alla consegna di persona degli smartphone modificati. Pochi giorni fa è stato arrestato, sempre nel Regno Unito, uno dei clienti di Russian Coms, e inoltre l’Europol ha in corso altre operazioni analoghe in vari altri paesi.

Gli agenti britannici hanno reso pubblici i dettagli di questa vicenda il primo agosto scorso, pubblicando anche un video dell’irruzione e dell’arresto e una schermata tratta dal sito di Russian Coms che ne illustra il tariffario.

[rumore dell’irruzione]

Sul canale Telegram di Russian Coms i messaggi dei criminali sono stati sostituiti da un avviso che informa la clientela, per così dire, che il servizio “è ora sotto il controllo delle forze dell’ordine internazionali” e annuncia che “La polizia verrà a trovarvi presto”, con tanto di emoji sorridente ma non troppo.

L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.

La National Crime Agency sottolinea che anche se le tecnologie sofisticate e le tecniche professionali usate da gruppi come Russian Coms “promettono l’anonimato, a insaputa dei loro utenti criminali registrano e conservano i loro dati, e quindi è possibile identificare chi sono e come operano”.

Il fatto che i server dei fornitori del servizio siano stati acquisiti dalle forze dell’ordine implica un bottino ingentissimo di dati, e soprattutto di identità di vittime e truffatori, che fotografa l’intera organizzazione e la sua clientela con un dettaglio che si vede di rado. La polizia londinese ha dichiarato di aver svolto controlli incrociati su oltre 100.000 dati, compresi indirizzi IP, numeri di telefono e soprattutto nomi, per identificare i sospettati e rintracciare anche le loro vittime.

L’obiettivo di questo intervento e del suo annuncio al pubblico è minare in generale la fiducia dei malviventi in questi fornitori di servizi e quindi spezzare la filiera del crimine organizzato, ma è anche un’occasione per ricordare al pubblico alcune regole di cautela da adottare per non finire tra le vittime di questi professionisti dei reati digitali.

Se ricevete una chiamata inattesa di qualcuno che dice di rappresentare la vostra banca, un servizio finanziario, un corriere o qualunque ente ufficiale e vi mette sotto pressione chiedendovi di prendere una decisione immediata riguardante del denaro oppure vi chiede dati personali, riagganciate e chiamate subito il numero che trovate sul sito dell’ente o del servizio in questione o sul retro della vostra carta di credito o di debito. Nessuna azienda seria e nessun ente vi metterà mai fretta chiedendovi di prendere subito decisioni importanti per telefono.

Vicende come quella di Russian Coms rivelano che i criminali online non sono tutti esperti del settore, non sono tutti geni malvagi dell’informatica: sono molto spesso dei semplici consumatori opportunisti, a volte inetti, di tecnologie sviluppate da altri e comprate chiavi in mano, senza sapere nulla del loro funzionamento, e possono commettere questo tipo di reati solo perché trovano facilmente chi fornisce loro i grimaldelli informatici necessari.

C’è anche un altro aspetto messo in luce da questo successo delle forze di polizia contro il crimine online, ed è il fatto a prima vista assurdo che il sistema telefonico mondiale consenta di falsificare il numero del chiamante.

Se non ci fosse questa possibilità, i malviventi perderebbero un appiglio psicologico molto importante nel costruire la propria credibilità e nel conquistare la fiducia delle loro vittime, che non si aspettano che esista una funzione del genere e si fidano del numero che vedono sul proprio schermo. Ma allora perché gli operatori telefonici non cambiano le cose, visto che questa possibilità di falsificazione consente frodi da decine di milioni di dollari come quella di Russian Coms?

La risposta, poco intuitiva, è che in realtà ci sono dei casi legittimi nei quali chi chiama ha bisogno di far comparire un numero differente da quello effettivo, come per esempio un call center che effettua chiamate per conto di varie aziende, oppure una ditta che ha varie sedi ma vuole presentarsi ai clienti sempre con lo stesso numero per non creare confusione, e quindi le compagnie telefoniche devono lasciare aperta questa possibilità.

Tuttavia possono mettere delle regole, per cui per esempio il numero da visualizzare (il cosiddetto Presentation Number) non può appartenere a un paese differente da quello del numero effettivo (il cosiddetto Network Number). E infatti alcuni operatori telefonici lo fanno [lo spiega qui Ofcom per il Regno Unito]. Ma per tutta risposta, i criminali eludono questo filtro procurandosi numeri di telefono nazionali.

Per ogni difesa, insomma, i malviventi inventano un attacco che la scavalca dal punto di vista strettamente tecnico. Ma se si riesce a far salire il costo e la complessità di questo attacco, diventa meno conveniente effettuarlo e le persone capaci di compierlo e di procurarsi le risorse necessarie diventano meno numerose. E se la difesa adottata costringe per esempio gli aggressori a usare numeri di telefono del paese che vogliono colpire, quei criminali non possono più agire impunemente dall’estero ma devono risiedere localmente, e questo non solo complica la logistica di questi reati ma rende enormemente più semplici gli interventi di giustizia e di polizia, che non vengono più ostacolati dalla necessità di rogatorie e coordinamenti internazionali interforze.

Le soluzioni tecniche, dunque, ci sono [STIR/SHAKEN, CLI authentication, eccetera]; il problema è mettere d’accordo tutti gli operatori del mondo su quale soluzione adottare, coordinarli su questa adozione senza trovarsi con interi paesi bloccati per errore, e convincerli ad affrontare la spesa del cambiamento. Buona fortuna.

In attesa di quel momento, a noi utenti non resta altro che imparare a essere diffidenti su tutto, anche su un concetto in teoria elementare come il numero di telefono di chi ci chiama e ci compare sullo schermo.

Fonti