Vai al contenuto

Podcast RSI – Meta incassa 7 miliardi di dollari l’anno da spot-truffa, e lo sa

Questo è il testo della puntata del 10 novembre 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il mio archivio delle puntate è presso Attivissimo.me/disi.

Se vi è capitato di notare una pubblicità sfacciatamente truffaldina su Facebook o Instagram e avete provato a segnalarla ma non è successo nulla e lo spot è rimasto al suo posto, c’è una buona ragione. Anzi, ci sono sette miliardi di buone ragioni. Meta, la società che gestisce questi due social network oltre a WhatsApp, incassa infatti sette miliardi di dollari ogni anno dalle pubblicità fraudolente. E grazie a un’indagine appena pubblicata da Reuters, sappiamo che i dirigenti di Meta sono perfettamente consapevoli di questa situazione e hanno deciso di non fare nulla, perché l’ammontare di qualunque sanzione delle autorità sarebbe inferiore a quello che incassa.

Non solo: quando Meta si accorge che un inserzionista sta truffando, spesso non lo blocca, ma si limita a farlo pagare di più per continuare a pubblicare i suoi spot che raggirano gli utenti. In altre parole, Meta guadagna di più da una pubblicità truffaldina che da uno spot onesto. Non è una teoria: lo dicono i documenti interni di Meta stessa.

Benvenuti alla puntata del 10 novembre 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Ogni giorno, Meta mostra agli utenti di Facebook, Instagram e WhatsApp circa 15 miliardi di pubblicità ad alto rischio di truffa. Da queste pubblicità incassa 7 miliardi di dollari l’anno. Alla fine del 2024, l’azienda prevedeva che il 10% del suo fatturato globale, circa 16 miliardi di dollari, sarebbe derivato dal fatto di mostrare consapevolmente ai propri utenti delle pubblicità che promuovono truffe o prodotti illegali. Sono alcuni dei dati che emergono da un’inchiesta pubblicata pochi giorni fa da Reuters e basata su documenti interni di Meta.

I comportamenti intenzionali di Meta rivelati dall’inchiesta lasciano a bocca aperta per il loro cinismo assoluto. Gran parte delle truffe sui suoi social network proviene da operatori che vengono rilevati eccome dai servizi di monitoraggio antifrode interni, ma Meta blocca questi inserzionisti solo se questi sistemi automatici sono sicuri almeno al 95% che sia in corso una truffa. Se la percentuale è inferiore, Meta semplicemente fa pagare all’inserzionista un importo maggiore per ciascuno spot, ma non lo blocca.

C’è di più: la documentazione interna dell’azienda di Mark Zuckerberg spiega che un utente che clicca su una pubblicità fraudolenta verrà bombardato da altre pubblicità truffa, grazie agli automatismi, i famosi algoritmi social, che cercano di presentare agli utenti delle pubblicità basate sui loro interessi.

Altre informazioni interne dimostrano che Meta ha ordinato ai suoi team antifrode di non intervenire contro gli inserzionisti sospettati di frode se bloccarli rischia di far perdere a Meta più dello 0,15% del fatturato globale. A ottobre 2024, i dirigenti di Meta hanno presentato a Zuckerberg in persona un piano antifrode, che invece di agire drasticamente avrebbe concentrato i propri sforzi nei Paesi nei quali si temeva un intervento a breve del legislatore. Hanno poi concordato che avrebbero tentato di ridurre gli incassi legati a truffe, gioco d’azzardo illegale e merci proibite dal 10,1% circa del 2024 al 7,3% entro la fine di quest’anno. Hanno i mezzi per bloccare le truffe, ma li applicano con il contagocce per non causare cali troppo repentini nel fatturato aziendale.

È difficile leggere i dati portati alla luce dall’indagine di Reuters senza evocare la parola “complicità”. Qui non si tratta più di un semplice “se non paghi per qualcosa, il prodotto in vendita sei tu”. Non è più una sorta di compromesso di convenienza, nel quale gli utenti accettano di essere sorvegliati a scopo pubblicitario in cambio di un servizio che permette loro di restare in contatto con parenti, amici e clienti. Meta sta volutamente, consapevolmente dando i propri utenti – cioè noi – in pasto ai truffatori perché guadagna dalle loro truffe.

Questa è la reale natura dei social network che quattro miliardi di persone al mondo continuano a usare. Un territorio di caccia per criminali, che ingannano gli adulti con finti investimenti facili e seducono i minori per ricattarli minacciando di pubblicare le loro foto intime, e la passano liscia perché le loro inserzioni su Facebook e Instagram contribuiscono al fatturato.

È per questo che segnalare una truffa sui social network di Meta è molto spesso una perdita di tempo. Anche a me è capitato di segnalare account che erano sfacciatamente in violazione delle regole di Facebook o di Instagram, perché presentavano immagini di minori in atteggiamenti illegali o fingevano di essere account di celebrità che promuovevano investimenti e prodotti, e mi è capitato di sentirmi rispondere spesso che andava tutto bene così. Addirittura segnalare in massa spesso è inutile. I documenti interni di Meta rivelano che l’azienda lo sa e non fa praticamente nulla.

Uno di questi documenti, datato 2023, mette in luce il livello stratosferico di indifferenza di Meta verso i suoi utenti truffati o esposti a truffe. In quel periodo gli utenti di Facebook e Instagram stavano inviando circa centomila segnalazioni valide di tentativi di truffa ogni settimana, ma Meta le ignorava o le respingeva nel 96% dei casi. Però possiamo consolarci, perché i responsabili della sicurezza si erano impegnati, in questi documenti, a ridurre questa percentuale al 75%. Per loro, lasciar correre tre truffe su quattro sarebbe un bel risultato.

Lo so che niente di tutto questo vi farà chiudere i vostri account Instagram, Facebook o WhatsApp. Moltissimi utenti hanno investito anni nel creare una rete di amicizie e di contatti su questi social network e quindi sono comprensibilmente molto riluttanti a smettere di usarli anche di fronte a rivelazioni come queste. Il loro atteggiamento spesso è del tipo “sì, lo so che mi profilano, ma tanto non ho niente da nascondere, facciano pure; io non voglio perdere i contatti con i parenti e gli amici, e se non fanno abbastanza contro le frodi starò attento a non cliccare sulle pubblicità.”

Ma stare attenti a non abboccare agli spot non basta. Questa intenzionale, calcolata carenza di vigilanza di Meta sui propri social favorisce infatti un ecosistema di truffatori impuniti e ben attrezzati ,che rubano gli account degli utenti e ne prendono il controllo per diffondere i loro raggiri usando le identità delle vittime. In questo modo gli amici di quelle vittime crederanno che il consiglio di investimento in criptovalute arrivi da una persona di fiducia, e abboccheranno più facilmente.

L’indagine di Reuters cita un esempio eloquente fra tanti. Una donna ha scoperto di non poter più accedere al proprio account Facebook e si è accorta che qualcuno lo stava usando per mostrare una falsa tessera da dipendente sulla quale c’era la sua faccia. Il testo del post annunciava che lei (la vittima) era ora “certificata per le criptovalute”. La donna ha segnalato subito il problema a Meta, ripetutamente, ma non è successo nulla. Il suo account, con il suo nome e la sua faccia, continuava ad annunciare che lei era diventata ricca grazie alle cripto e voleva dare ai suoi amici la stessa opportunità. Chiedere alla polizia di intervenire è stato inutile: gli agenti le hanno detto che normalmente Meta non risponde alle segnalazioni di account rubati neanche quando arrivano dalle forze dell’ordine.

E così la donna ha cercato di avvisare tutti i propri contatti, chiedendo di non interagire con il suo account e di segnalarne il furto a Meta. Ma anche questo non è servito a nulla. Nonostante un centinaio di segnalazioni, Meta non ha fatto niente per parecchio tempo, e così i truffatori sono riusciti a raggirare cinque suoi colleghi che si sono fidati dei consigli che a loro sembravano provenire da lei e hanno perso cifre ingenti.

I documenti interni di Meta rivelano un altro aspetto poco conosciuto del mondo delle frodi online: i truffatori sono ricchi. Per trovare le proprie vittime, investono in campagne di spot sui social per decine o centinaia di migliaia di dollari. Uno dei documenti cita il caso di un truffatore che ha pagato a Meta ben 250 mila dollari per fare inserzioni nelle quali si spacciava per il primo ministro canadese e propinava, anche qui, investimenti in criptovalute. Avete capito bene: un criminale ha pagato a Meta quella cifra. Non c’è da sorprendersi se Meta ha chiuso un occhio e anzi nei suoi documenti interni ha sottolineato che le sue regole attuali non segnalerebbero affatto questo tipo di account.

A volte gli occhi che vengono chiusi sono ben più di uno. Gli stessi documenti interni dell’azienda rivelano che alcuni grandi inserzionisti truffaldini potevano accumulare oltre cinquecento violazioni senza essere puniti. E alcune campagne fraudolente sono immense: quattro di esse, rimosse da Meta qualche mese fa, fruttavano da sole all’azienda di Zuckerberg incassi per 67 milioni di dollari al mese.

E la soluzione di Meta a questo tipo di problema è stata aumentare le tariffe per gli inserzionisti sospettati di essere fraudolenti. Gli stessi documenti sottolineano che Meta vuole ridurre questo flusso di incassi legati alle frodi, ma farlo troppo in fretta potrebbe avere appunto un effetto deleterio sulle sue proiezioni di fatturato e potrebbe spaventare gli azionisti. Tanto le sanzioni delle autorità costerebbero meno dei tre miliardi e mezzo di dollari che Meta guadagna ogni sei mesi dalle pubblicità sfacciatamente ingannevoli.

Meta ha risposto all’inchiesta di Reuters dicendo che i documenti interni “mostrano una visione selettiva che distorce l’approccio di Meta alle frodi e alle truffe” e che la stima che il 10% del fatturato derivi da frodi è approssimata per eccesso, ma non ha fornito un dato più esatto. L’azienda ha aggiunto che negli ultimi diciotto mesi le segnalazioni di truffe da parte degli utenti sono calate del 58% e che ha rimosso oltre 134 milioni di contenuti fraudolenti. Ma non ha indicato quanti non ne ha rimossi. E rimane sempre il solito problema che in questi social network la volpe è la guardia del pollaio. E ora sappiamo che prende anche soldi per lasciare che altri spennino i suoi polli. Cioè noi.

È comprensibile che di fronte a notizie di questo genere si provi impotenza e rassegnazione. I social network sono una parte troppo ben radicata delle nostre attività personali e professionali. È difficile, quasi impossibile farne a meno, e quindi si sopportano angherie come quelle messe in luce dalla meticolosa indagine di Reuters.

Ma in realtà la scelta fra accettare una gestione cinica e scellerata come questa e rinunciare ai social network è una falsa alternativa. Ci sono social network nei quali la volpe non è la guardia del pollaio, non possiede il pollaio, e non fa entrare nel pollaio le faine per guadagnarci. Sono i social network come Mastodon, quelli del cosiddetto fediverso, quelli creati dagli utenti per gli utenti, senza un CEO o un proprietario che può fare il bello e il cattivo tempo e senza un algoritmo che sceglie per noi cosa farci vedere e cosa no.

Nulla vieta di installare sul telefono, tablet o computer un’app social gratuita come Mastodon accanto a Facebook o Instagram e poi proporre gradualmente ai propri contatti di passare a una piattaforma meno oppressiva. Nessuna grande caotica migrazione improvvisa, ma una transizione graduale. È quello che faccio io, e funziona. Se rivelazioni come queste di Reuters vi ispirano almeno a provare a cambiare le cose invece di attendere invano che cambino da sole, fateci un pensierino. Trovate tutto presso Joinmastodon.org.

Account Paypal veri che sembrano falsi, mistero di famiglia risolto

Le eredità digitali sono un gran casino. Chiunque si sia trovato a gestire un lutto in famiglia oggi si trova confrontato con una sfida in più: districarsi nei vari account social e di servizi online di chi non c’è più e difficilmente ha lasciato istruzioni dettagliate e aggiornate su cosa sono e cosa farne. Con la spedizione delle bollette via mail e le comunicazioni delle aziende che arrivano sempre più spesso via WhatsApp, c’è il rischio di trovarsi con pagamenti in sospeso, multe e sanzioni di cui non si sa nulla. Viceversa, ci possono essere soldi custoditi online, sotto forma di conti PayPal o in criptovalute, che può essere interessante recuperare.

Tutto questo è ovviamente un territorio di caccia molto fertile per i truffatori, per cui a gennaio scorso, quando ho ricevuto delle mail a prima vista provenienti da Paypal sulla casella di mail di mio padre (morto cinque anni fa), con un invito a leggere e accettare le condizioni di contratto aggiornate, ho pensato subito a un classico phishing e le ho ignorate, sapendo che mio padre non era assolutamente il tipo di persona che avrebbe aperto un conto Paypal. E se anche l’avesse fatto, ne avrebbe preso nota (rigorosamente su carta, insieme a tutte le sue password). Nessuno in famiglia ne sapeva nulla.

Ma le mail hanno continuato ad arrivare, e il mittente sembrava essere realmente Paypal, per cui mi sono incuriosito. Vi racconto questa vicenda perché potrebbe essere utile per altre persone che si trovano nella mia stessa situazione.

Ho cercato in lungo e in largo, anche con strumenti di informatica forense, nei backup e nelle immagini disco che avevo fatto dei dispositivi di mio padre, ma non ho trovato la minima menzione di un account Paypal. Non avendo la password dell’account non potevo entrare nel conto; avendo la mail, potevo farmi mandare un link di reset della password, cosa che ho fatto. Il link mi è arrivato e portava effettivamente al sito di Paypal, che accettava la richiesta di reset di un conto associato alla mail di mio padre, a conferma che l’account era reale e non si trattava di un phishing.

Ma è emerso che l’account era protetto dall’autenticazione a due fattori (2FA), per cui il link di reset richiedeva il codice numerico temporaneo che veniva mandato via SMS. Il mistero si è quindi infittito, per due ragioni: mio padre non usava mai la 2FA, nonostante le mie perenni suppliche di mettersi in sicurezza, e il numero di telefono associato all’account (che potevo vedere in parte durante la procedura di reset) era un numero fisso, quello della sua abitazione, sul quale sarebbe stato impossibile anche per lui ricevere un SMS di autenticazione. La situazione non aveva alcun senso logico.

A questo punto mi trovavo con un account Paypal confermato come reale, in apparenza intestato a mio padre, ma inaccessibile. Non era phishing, non sembrava un account creato da mio padre; quindi come altro si poteva spiegare questo stato di cose?

La mia prima ipotesi è stata che si trattasse di un account aperto fraudolentemente a suo nome. Il suo indirizzo di mail e il suo numero di telefono erano facilmente reperibili online; qualcuno potrebbe averli usati per creare un account per qualche truffa. Nel qual caso su quel conto potevano esserci dei soldi… Non miei, certo, ma comunque soldi, da restituire se possibile ai derubati.

La cosa è rimasta ferma per qualche mese, intanto che ci rimuginavo sopra e inseguivo le infinite emergenze di lavoro e di famiglia che sembrano costellare la mia vita da qualche anno (a proposito, scusate se scrivo poco su questo blog ultimamente, ma sto facendo fatica a stare a galla in termini di risorse mentali e di sonno).

Qualche giorno fa è arrivata sulla casella di mail di mio padre l’ennesima mail di Paypal che mi ricordava di accettare le condizioni di contratto aggiornate, e così ho deciso di andare a fondo della questione. Invece di chiedere il reset della password, ho tentato di entrare nell’account Paypal usando le varie password che adoperava mio padre; tentativo disperato, lo so, soprattutto se l’account era stato aperto da un truffatore, ma non mi restavano altre vie percorribili.

Dopo alcuni tentativi falliti, bingo! Non sono riuscito a entrare nell’account, ma mi è comparso l’invito a contattare Paypal per risolvere il problema di accesso. Fra i metodi di contatto c’era anche un numero di telefono, e ho provato a usarlo: spiegare a voce tutta la situazione sarebbe stato infinitamente più facile che farlo per iscritto, e avrei potuto fornire subito eventuali elementi di autenticazione.

Il numero è 800 975 345 per chi chiama dall’Italia da telefono fisso. Per chiamare da cellulare o dall’estero, il numero di Paypal è +39 06 8938 6461. Gli operatori rispondono dalle 9 alle 19.30 italiane.

Ovviamente, da informatico che documenta truffe da una vita, mi sono messo nei panni di un operatore Paypal che riceve da un numero svizzero una telefonata del tipo “Salve, sono l’erede del signor Taldeitali ma non ho la password del suo account, mi può aiutare a prenderne il controllo?” e mi sono reso conto che le probabilità di essere creduto sulla parola per telefono erano veramente esigue. Ma valeva la pena di tentare.

L’operatore che mi ha risposto, Khaled, è stato gentilissimo e molto preciso. Gli ho spiegato con calma la situazione, sottlineando che non mi interessava accedere al conto, almeno per il momento, ma volevo solo sapere se era stato aperto fraudolentemente a nome di mio padre oppure no, perché non riuscivo a immaginare mio padre come titolare di un account Paypal, oltretutto segreto.

L’operatore evidentemente aveva già gestito situazioni di questo tipo e ha individuato molto rapidamente la ragione per cui esisteva l’account Paypal. Non ci sarei mai arrivato da solo. Sì, mio padre aveva davvero un account Paypal, aperto da lui e creato il 3 settembre 2007.

Spoiler: il saldo era zero.

Ho chiesto subito all’operatore se poteva dirmi se il saldo era zero o maggiore di zero, in modo da poter decidere se valesse la pena di avviare la procedura legale di subentro. Nota tecnica: credo che sia importante essere precisi nel formulare le domande, in casi come questi, per non chiedere all’operatore dati che per regolamento o legge non può dare, per cui non ho chiesto il saldo esatto. L’operatore mi ha risposto volentieri che il saldo era appunto zero.

Ma l’operatore mi ha dato anche un’informazione che ha fatto subito quadrare tutti gli indizi: ha detto che l’account era stato aperto automaticamente quando mio padre aveva acquistato una tessera prepagata di Lottomatica. Questo è stato il mio “momento a-HA!”.

Mio padre, infatti, era un accanito giocatore del lotto, con alterne fortune. Aveva perfettamente senso che avesse acquistato una prepagata e che con l’occasione avesse dato il proprio indirizzo di mail e numero di telefono. Aveva sì un account Paypal, ma non sapeva nemmeno di averlo, tant’è che non lo aveva mai confermato per attivarlo pienamente.

E così ora non mi resta che mandare una mail a Paypal, con una copia del certificato di morte, per chiudere l’account e mettere la parola fine a un piccolo mistero di famiglia.

Morale della storia: la realtà è sempre più complessa di quello che si immagina, anche quando si è abituati a pensare che sia complessa. E a volte dietro una mail che sembra phishing c’è una situazione autentica. Questo non vuol dire che si deve abbassare la guardia: i truffatori sono sempre in agguato.

Spero che questo racconto possa essere utile a qualcuno.


*Podcast RSI – Frodi milionarie con numeri di telefono falsificati, in manette i fornitori: il caso Russian Coms

Questo articolo è stato migrato al nuovo blog Attivissimo.me. Eventuali aggiornamenti saranno pubblicati lì.

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.

[CLIP: Squillo di telefono]

Il vostro telefonino squilla all’improvviso. Sul suo schermo compare il numero
della vostra banca. Rispondete, e una voce molto precisa e professionale vi
informa, con il tono leggermente spassionato di chi ha detto queste stesse
parole infinite volte, che è successo quello che temevate e che un po’ tutti
temiamo. Dei criminali informatici hanno avuto accesso al vostro conto
corrente.

Per fortuna la vostra banca ha bloccato il tentativo di frode e vi sta
chiamando appunto per informarvi della situazione e per chiedervi di smettere
di usare le vostre coordinate bancarie attuali e sostituirle con quelle nuove,
che vi verranno dettate tra un momento. A voi non resta che trasferire il
saldo del conto dalle coordinate attuali a quelle nuove, e tutto sarà a posto.

Ma come avete probabilmente intuito, la chiamata è una messinscena, il numero
che compare sul vostro schermo è stato falsificato, la voce è quella alterata
digitalmente di un criminale che finge di essere un funzionario antifrode, e
le coordinate nuove servono per convincervi a trasferire volontariamente i
vostri soldi su un conto controllato dal malvivente.

Fin qui niente di nuovo, ma questa non è la storia dell’ennesimo caso di frode
bancaria informatica: è la storia di Russian Coms, un vero e proprio servizio
commerciale di assistenza tecnica ai criminali, il cosiddetto
crime as a service, che vendeva kit chiavi in mano per aspiranti
truffatori e ha permesso di derubare centinaia di migliaia di persone in oltre
cento paesi per un totale di svariate decine di milioni di dollari.

Dico “vendeva” perché Russian Coms è stato sgominato dalle forze
dell’ordine, arrestando varie persone e soprattutto prendendo il controllo dei
server sui quali i criminali gestivano i rapporti con la propria clientela,
promettendo discrezione e riservatezza. Ma ora tutti i dati di quei rapporti
sono nelle mani degli inquirenti, e sul canale Telegram di Russian Coms è
comparso un avviso:
“tutto è stato compromesso, non importa quale software stiate usando. Anche
tutti gli altri fornitori sono stati compromessi”.

L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.

In altre parole, si salvi chi può.

Questo fuggi fuggi generale è un’occasione rara per gettare luce sulla filiera
del crimine informatico e sulle sue tecniche, per riconoscerle e difendersi
meglio, ma anche per rispondere a un paio di curiosità che magari vi siete
posti: ma dove vanno esattamente i criminali online a procurarsi i ferri del
mestiere? Vanno nel dark web? Sono tutti esperti del fai da te
informatico, dediti al male? E poi, perché è possibile falsificare il numero
del chiamante?

Benvenuti alla puntata del 9 agosto 2024 del Disinformatico, il podcast
della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane
dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Questa storia inizia nel 2021, quando nasce un gruppo di criminali online che
si fa chiamare Russian Coms anche se non ha nessun collegamento noto
con la Federazione Russa. La sua specialità è offrire ad altri criminali
servizi di caller ID spoofing, ossia di falsificazione del numero del
chiamante. Servizi che fanno comparire sui telefonini delle persone chiamate
un numero appartenente a una banca, a una compagnia telefonica o a una forza
di polizia, per conquistare la fiducia di queste persone e aiutare così a
carpirne i dati personali, le carte di credito e i soldi.

Russian Coms comincia offrendo ai propri clienti dei telefonini Android
appositamente personalizzati, dotati di app finte che li fanno sembrare
normali telefoni in caso di sequestro da parte della polizia, di VPN per
rendere meno tracciabili le attività criminali per le quali vengono usati, e
anche di una app di autodistruzione che cancella istantaneamente la memoria
dello smartphone in caso di necessità. Successivamente offre anche lo stesso
servizio tramite una web app.

Russian Coms propone contratti di sei mesi che costano circa 1300 euro in
tutto, sono pagabili con criptovalute e vengono pubblicizzati su Snapchat,
Instagram e Telegram, e su un normalissimo sito Web, Russiancoms.cm. Non
provate a visitarlo adesso: non ci troverete nulla. Lo so perché ho provato io
per voi.

Avete capito bene: niente dark web, ma tutto sfacciatamente alla luce
del sole, sul Web normale, sui social network, come se niente fosse.

Le offerte di contratto sul sito Web di Russian Coms. Fonte: National Crime
Agency.

Il servizio è completo e professionale: le chiamate sono cifrate, viene
offerto un software che altera la voce in tempo reale, i costi delle
telefonate internazionali sono inclusi nel canone, e naturalmente c’è
un’assistenza clienti disponibile ventiquattr’ore su ventiquattro, sette
giorni su sette. Un livello di customer care invidiabile, migliore di
quello di tante aziende regolari.

Gli affari di Russian Coms vanno bene. I suoi clienti arrivano a saccheggiare
conti correnti in ben 107 paesi, dagli Stati Uniti alla Norvegia, dalla
Francia alle Bahamas. Fra il 2021 e il 2024, gli utenti paganti di Russian
Coms effettuano milioni di chiamate a milioni di vittime, fingendo di
rappresentare aziende di buona reputazione e facendosi dare soldi per merci
mai consegnate, spacciandosi per banche per accedere ai conti correnti delle
persone chiamate, e organizzando in alcuni casi il ritiro fisico, fatto di
persona, di carte di debito e di credito con la scusa che andavano sostituite
per motivi di sicurezza. Il sistema funziona. Nel Regno Unito, per esempio, il
danno medio ammonta a oltre 9000 sterline (circa 10.000 euro o franchi) per
ciascuna delle circa 170.000 vittime.

Ma a marzo 2024 le cose prendono una brutta piega per i membri di Russian
Coms.

Dopo mesi di indagini, gli agenti della National Crime Agency britannica
arrestano due uomini di 26 e 28 anni a Londra. Gli inquirenti ritengono che si
tratti degli sviluppatori e degli amministratori del servizio.

Nei giorni successivi, il sito di Russian Coms viene disattivato, e il 12
aprile viene arrestato, sempre a Londra, un altro uomo che viene considerato
uno degli addetti alla consegna di persona degli smartphone modificati. Pochi
giorni fa è stato arrestato, sempre nel Regno Unito, uno dei clienti di
Russian Coms, e inoltre l’Europol ha in corso altre operazioni analoghe in
vari altri paesi.

Gli agenti britannici hanno
reso pubblici
i dettagli di questa vicenda il primo agosto scorso, pubblicando anche un
video dell’irruzione e dell’arresto e una schermata tratta dal sito di Russian
Coms che ne illustra il tariffario.

[rumore dell’irruzione]

Sul canale Telegram di Russian Coms i messaggi dei criminali sono stati
sostituiti da un avviso che informa la clientela, per così dire, che il
servizio
“è ora sotto il controllo delle forze dell’ordine internazionali” e
annuncia che “La polizia verrà a trovarvi presto”, con tanto di emoji
sorridente ma non troppo.

L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.

La National Crime Agency sottolinea che anche se le tecnologie sofisticate e
le tecniche professionali usate da gruppi come Russian Coms
“promettono l’anonimato, a insaputa dei loro utenti criminali registrano e
conservano i loro dati, e quindi è possibile identificare chi sono e come
operano”.

Il fatto che i server dei fornitori del servizio siano stati acquisiti dalle
forze dell’ordine implica un bottino ingentissimo di dati, e soprattutto di
identità di vittime e truffatori, che fotografa l’intera organizzazione e la
sua clientela con un dettaglio che si vede di rado. La polizia londinese ha
dichiarato di aver svolto controlli incrociati su oltre 100.000 dati, compresi
indirizzi IP, numeri di telefono e soprattutto nomi, per identificare i
sospettati e rintracciare anche le loro vittime.

L’obiettivo di questo intervento e del suo annuncio al pubblico è minare in
generale la fiducia dei malviventi in questi fornitori di servizi e quindi
spezzare la filiera del crimine organizzato, ma è anche un’occasione per
ricordare al pubblico alcune regole di cautela da adottare per non finire tra
le vittime di questi professionisti dei reati digitali.

Se ricevete una chiamata inattesa di qualcuno che dice di rappresentare la
vostra banca, un servizio finanziario, un corriere o qualunque ente ufficiale
e vi mette sotto pressione chiedendovi di prendere una decisione immediata
riguardante del denaro oppure vi chiede dati personali, riagganciate e
chiamate subito il numero che trovate sul sito dell’ente o del servizio in
questione o sul retro della vostra carta di credito o di debito. Nessuna
azienda seria e nessun ente vi metterà mai fretta chiedendovi di prendere
subito decisioni importanti per telefono.

Vicende come quella di Russian Coms rivelano che i criminali online non sono
tutti esperti del settore, non sono tutti geni malvagi dell’informatica: sono
molto spesso dei semplici consumatori opportunisti, a volte inetti, di
tecnologie sviluppate da altri e comprate chiavi in mano, senza sapere nulla
del loro funzionamento, e possono commettere questo tipo di reati solo perché
trovano facilmente chi fornisce loro i grimaldelli informatici necessari.

C’è anche un altro aspetto messo in luce da questo successo delle forze di
polizia contro il crimine online, ed è il fatto a prima vista assurdo che il
sistema telefonico mondiale consenta di falsificare il numero del chiamante.

Se non ci fosse questa possibilità, i malviventi perderebbero un appiglio
psicologico molto importante nel costruire la propria credibilità e nel
conquistare la fiducia delle loro vittime, che non si aspettano che esista una
funzione del genere e si fidano del numero che vedono sul proprio schermo. Ma
allora perché gli operatori telefonici non cambiano le cose, visto che questa
possibilità di falsificazione consente frodi da decine di milioni di dollari
come quella di Russian Coms?

La risposta, poco intuitiva, è che in realtà ci sono dei casi legittimi nei
quali chi chiama ha bisogno di far comparire un numero differente da quello
effettivo, come per esempio un call center che effettua chiamate per
conto di varie aziende, oppure una ditta che ha varie sedi ma vuole
presentarsi ai clienti sempre con lo stesso numero per non creare confusione,
e quindi le compagnie telefoniche devono lasciare aperta questa possibilità.

Tuttavia possono mettere delle regole, per cui per esempio il numero da
visualizzare (il cosiddetto Presentation Number) non può appartenere a
un paese differente da quello del numero effettivo (il cosiddetto
Network Number). E infatti alcuni operatori telefonici lo fanno
[lo spiega
qui
Ofcom per il Regno Unito]. Ma per tutta risposta, i criminali eludono questo filtro procurandosi numeri
di telefono nazionali.

Per ogni difesa, insomma, i malviventi inventano un attacco che la scavalca
dal punto di vista strettamente tecnico. Ma se si riesce a far salire il costo
e la complessità di questo attacco, diventa meno conveniente effettuarlo e le
persone capaci di compierlo e di procurarsi le risorse necessarie diventano
meno numerose. E se la difesa adottata costringe per esempio gli aggressori a
usare numeri di telefono del paese che vogliono colpire, quei criminali non
possono più agire impunemente dall’estero ma devono risiedere localmente, e
questo non solo complica la logistica di questi reati ma rende enormemente più
semplici gli interventi di giustizia e di polizia, che non vengono più
ostacolati dalla necessità di rogatorie e coordinamenti internazionali
interforze.

Le soluzioni tecniche, dunque, ci sono
[STIR/SHAKEN, CLI authentication, eccetera]; il problema è mettere d’accordo tutti gli operatori del mondo su
quale
soluzione adottare, coordinarli su questa adozione senza trovarsi con interi
paesi bloccati per errore, e convincerli ad affrontare la spesa del
cambiamento. Buona fortuna.

In attesa di quel momento, a noi utenti non resta altro che imparare a essere
diffidenti su tutto, anche su un concetto in teoria elementare come il numero
di telefono di chi ci chiama e ci compare sullo schermo.

Fonti:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Truffe dei codici QR e auto rubate tramite app a “Patti Chiari” (RSI)

Venerdì scorso sono stato ospite della trasmissione Patti Chiari della Radiotelevisione Svizzera per parlare di due tipi di truffa che sono diventati molto diffusi: il furto di denaro tramite codici QR ingannevoli e il furto di auto tramite le rispettive app di gestione.

La puntata è visionabile qui oppure qui sotto (salvo georestrizioni che mi segnalano alcuni commentatori):

Aggiungo qualche link utile per inquadrare meglio i due casi:

  • Il test per sapere se siete in grado di riconoscere un messaggio fraudolento
  • L’approfondimento e le prese di posizione dei soggetti coinvolti nella questione dei codici QR fraudolenti (Twint, BancaStato, Banca Migros)
  • La pagina di Tesla che spiega (in italiano) come funziona l’autenticazione a due fattori (o autenticazione a più fattori, come la chiama Tesla) sulle sue auto (e anche sulla mia)
  • Sottolineo, per maggiore chiarezza, che l’autenticazione a due fattori non va confusa con il PIN di sblocco dell’auto, il cosiddetto PIN to Drive. L’autenticazione protegge l’accesso all’account usato per gestire l’auto tramite l’app; il PIN di sblocco protegge l’auto contro il furto perché è un PIN che va digitato sullo schermo dell’auto, nell‘abitacolo, per consentirne la guida.

Podcast RSI – Il finto Brad Pitt e la sua vittima messa alla gogna

Questo è il testo della puntata del 20 gennaio 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

Probabilmente avete già sentito la notizia della donna francese che ha inviato in totale oltre 800.000 euro a dei truffatori perché era convinta di essere in chat con Brad Pitt e di doverlo aiutare economicamente perché i conti del celeberrimo attore erano bloccati dalla causa legale con l’ex moglie, Angelina Jolie. Se l’avete sentita, probabilmente l’avete commentata criticando l’ingenuità della vittima. Molte persone sono andate oltre e hanno insultato e preso in giro la vittima pubblicamente sui social; lo ha fatto persino Netflix France. Una gogna mediatica rivolta esclusivamente alla persona truffata, senza spendere una parola sulla crudeltà infinita dei truffatori. Ed è stata tirata in ballo l’intelligenza artificiale, che però in realtà c’entra solo in parte.

Questa è la storia di un inganno che in realtà è ben più complesso e ricco di sfumature di quello che è stato diffusamente raccontato, e che permette di conoscere in dettaglio come operano i truffatori online e cosa succede nella mente di una persona che diventa bersaglio di questo genere di crimine.

Benvenuti alla puntata del 20 gennaio 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Questa storia inizia a febbraio del 2023, quando Anne, una donna francese sposata con un facoltoso imprenditore, scarica Instagram perché vuole postare le foto di una sua vacanza nelle Alpi francesi. Viene contattata subito da qualcuno che dice di essere Jane Etta Pitt, la madre dell’attore Brad Pitt, che chatta con lei e le dice che sarebbe la persona giusta per suo figlio. Poco dopo la contatta online qualcuno che afferma di essere Brad Pitt in persona e chiede di conoscerla meglio. Soprattutto vuole sapere se Anne lavora per caso nei media, perché lui ci tiene molto a proteggere la sua vita privata.

Questo contatto insospettisce la donna, ma Anne non conosce i meccanismi dei social network. Non sa, per esempio, che i controlli di Instagram sulle identità degli utenti sono scarsissimi e che quindi il falso Brad Pitt e la sua altrettanto falsa madre sono liberi di agire praticamente indisturbati e di tentare la stessa truffa contemporaneamente con migliaia di persone. Una truffa complessa e articolata, che include fra i suoi espedienti la capacità dei criminali di passare mesi e mesi a circuire una vittima chattando amorevolmente con lei, perché nel frattempo ne stanno raggirando tante altre, in una sorta di catena di montaggio dell’inganno.

Fra questi espedienti ci sono anche trucchi come i finti regali. A un certo punto, il falso Brad Pitt scrive ad Anne, dicendo che ha tentato di inviarle dei regali di lusso ma che non ha potuto pagare la dogana perché i suoi conti correnti sono bloccati dalla causa di divorzio da Angelina Jolie. E così Anne invia ai truffatori 9000 euro. Il servizio attraverso il quale invia il denaro non la avvisa che questa transazione è sospetta.

Anne, invece, si insospettisce parecchie volte durante questo lungo corteggiamento online, ma ogni volta che le viene un dubbio, i truffatori riescono a farglielo passare, mandandole per esempio un falso documento d’identità dell’attore. La figlia di Anne cerca di avvisarla che si tratta di una truffa e tenta di ragionare con lei per oltre un anno, ma la donna è troppo coinvolta emotivamente in questa relazione a distanza. Anche perché questo falso Brad Pitt le ha chiesto di sposarlo, e lei ovviamente ha accettato una proposta così lusinghiera dopo aver divorziato dal marito.

I truffatori giocano anche la carta della compassione oltre a quella della seduzione e della lusinga. Scrivono ad Anne, fingendo sempre di essere Brad Pitt, e le dicono che l’attore ha bisogno di contanti per poter pagare le cure per il tumore al rene che lo ha colpito. Mandano ad Anne delle fotografie false che sembrano mostrare Brad Pitt ricoverato in ospedale. La donna è reduce da un tumore, e quindi i truffatori toccano un suo tasto emotivo particolarmente sensibile.

Anne cerca su Internet le foto di Brad Pitt ricoverato e non le trova, ma giustifica questa mancanza pensando che quelle fotografie siano confidenziali e siano dei selfie scattati specificamente per lei.

E così Anne invia ai criminali tutto il denaro che ha ottenuto dal divorzio, ossia 775.000 euro, convinta di contribuire a salvare la vita di una persona in gravi difficoltà. Anche qui, i servizi di trasferimento di denaro usati dalla vittima la lasciano agire senza bloccare la transazione, che dovrebbe essere già sospetta in partenza per il suo ammontare così elevato.

Quando i giornali che si occupano di gossip legato alle celebrità pubblicano immagini del vero Brad Pitt con la sua nuova compagna, Ines de Ramon, Anne si insospettisce di nuovo, ma i truffatori le mandano un falso servizio televisivo nel quale il conduttore (in realtà generato dall’intelligenza artificiale)* parla di un rapporto esclusivo con una persona speciale che va sotto il nome di Anne. Questo la rassicura per qualche tempo, ma poi Brad Pitt e Ines de Ramon annunciano ufficialmente il loro legame sentimentale. Siamo a giugno del 2024, e a questo punto Anne decide di troncare le comunicazioni.

* Dopo la chiusura del podcast sono riuscito a recuperare uno spezzone [YouTube, a 1:08] di questo servizio televisivo e ho scoperto che il conduttore sintetico è invece una conduttrice, perlomeno in base al suo aspetto.
Un fermo immagine dal finto servizio di telegiornale creato dai truffatori (C à Vous/YouTube).

Ma i truffatori insistono, spacciandosi stavolta per agenti speciali dell’FBI, e cercano di ottenere dalla donna altro denaro. Lei segnala la situazione alla polizia, e vengono avviate le indagini. Pochi giorni fa, Anne ha raccontato pubblicamente la propria vicenda sul canale televisivo francese TF1, per mettere in guardia altre potenziali vittime. E qui è cominciato un nuovo calvario.

Sui social network, infatti, centinaia di utenti cominciano a prenderla in giro. Uno dei più importanti programmi radiofonici mattutini francesi le dedica uno sketch satirico. Netflix France pubblica su X un post nel quale promuove quattro film con Brad Pitt, specificando fra parentesi che il servizio di streaming garantisce che si tratti di quello vero, con una chiara allusione alla vicenda di Anne. Il post è ancora online al momento in cui preparo questo podcast.

Screenshot del post di Netflix France su X.

La società calcistica Toulouse FC pubblica un post ancora più diretto, che dice “Ciao Anne, Brad ci ha detto che sarà allo stadio mercoledì, e tu?”. Il post è stato poi rimosso e la società sportiva si è scusata.

France 24 mostra il post del Toulouse FC.

TF1 ha tolto il servizio dedicato ad Anne dalla propria piattaforma di streaming dopo che la testimonianza della donna ha scatenato questa ondata di aggressioni verbali, ma il programma resta reperibile online qua e là. Anne, in un’intervista pubblicata su YouTube, ha dichiarato che TF1 ha omesso di precisare che lei aveva avuto dubbi, ripetutamente, e ha aggiunto che secondo lei qualunque persona potrebbe cadere nella complessa trappola dei truffatori se si sentisse dire quelle che lei descrive come “parole che non hai mai sentito da tuo marito.”

In altre parole, una donna che era in una situazione particolarmente vulnerabile è stata truffata non da dilettanti improvvisati ma da professionisti dell’inganno, disposti a manipolare pazientemente per mesi le loro vittime usando senza pietà le leve emotive più sensibili, ha deciso di raccontare pubblicamente la propria vicenda per mettere in guardia le altre donne, e ne ha ottenuto principalmente dileggio, scherno e derisione. Uno schema purtroppo molto familiare alle tante donne che scelgono di raccontare abusi di altro genere di cui sono state vittime e di cui la gogna mediatica le rende vittime due volte invece di assisterle e sostenerle.

In questa vicenda, oltretutto, non sono solo gli utenti comuni a postare sui social network commenti odiosi: lo fanno anche professionisti dell’informazione, che in teoria dovrebbero sapere benissimo che fare satira su questi argomenti è un autogol di comunicazione assoluto e imperdonabile.

Mentre abbondano i commenti che criticano Anne, scarseggiano invece quelli che dovrebbero far notare il ruolo facilitatore di queste truffe dei social network e dei sistemi di pagamento. Questi falsi account che si spacciano per Brad Pitt (usando in questo caso specifico parte del nome completo dell’attore, ossia William Bradley Pitt) sono alla luce del sole. Dovrebbero essere facilmente identificabili da Meta, un’azienda che investe cifre enormi nell’uso dell’intelligenza artificiale per monitorare i comportamenti dei propri utenti a scopo di tracciamento pubblicitario eppure non sembra in grado di usarla per analizzare le conversazioni sulle sue piattaforme e notare quelle a rischio o rilevare gli account che pubblicano foto sotto copyright.

Basta infatti una banale ricerca in Google per trovare falsi account a nome di Brad Pitt, che hanno migliaia di follower, pubblicano foto dell’attore di cui chiaramente non hanno i diritti ed esistono in alcuni casi da anni, come per esempio @william_bradley_pitt767, creato a febbraio del 2021 e basato in Myanmar. E lo stesso vale per moltissime altre celebrità. Queste truffe, insomma, prosperano grazie anche all’indifferenza dei social network.

Uno dei tanti account falsi a nome di Brad Pitt su Instagram.
Informazioni sul falso account.

C’è anche un altro aspetto di questa vicenda che è stato raccontato in maniera poco chiara da molte testate giornalistiche: l’uso dell’intelligenza artificiale per generare le foto di Brad Pitt ricoverato. Quelle foto sono in realtà dei fotomontaggi digitali tradizionali, e lo si capisce perché anche il più scadente software di generazione di immagini tramite intelligenza artificiale produce risultati di gran lunga più coerenti, nitidi e dettagliati rispetto alle foto d’ospedale ricevute da Anne.

Fonte: X.com/CultureCrave.

L’intelligenza artificiale è stata sì usata dai criminali, ma non per quelle foto. È stata usata per creare dei videomessaggi dedicati ad Anne, nei quali un finto Brad Pitt si rivolge direttamente alla donna, le confida informazioni personali chiedendole di non condividerle, muovendosi e parlando in modo naturale.

France24 mostra uno dei videomessaggi falsi creati dai truffatori animando il volto di Brad Pitt.

Questi video sono nettamente più credibili rispetto alle false foto del ricovero che circolano sui social media in relazione a questa vicenda; sono forse riconoscibili come deepfake da parte di chi ha un occhio allenato, ma chi come Anne si è affacciato da poco ai social network non ha questo tipo di sensibilità nel rilevare gli indicatori di falsificazione, e non tutti sanno che esistono i deepfake. Mostrare solo quei fotomontaggi, senza includere i video, significa far sembrare Anne molto più vulnerabile di quanto lo sia stata realmente.

La qualità delle immagini sintetiche migliora in continuazione, ma per il momento può essere utile cercare alcuni elementi rivelatori. Conviene per esempio guardare la coerenza dei dettagli di contorno dell’immagine, come per esempio la forma e la posizione delle dita oppure la coerenza delle scritte presenti sugli oggetti raffigurati. Un altro indicatore è lo stile molto patinato delle immagini sintetiche, anche se i software più recenti cominciano a essere in grado di generare anche foto apparentemente sottoesposte, mosse o dilettantesche. Si può anche provare una ricerca per immagini, per vedere se una certa foto è stata pubblicata altrove. Inoltre la ricerca per immagini permette spesso di scoprire la fonte originale della foto in esame e quindi capire se ha un’origine autorevole e affidabile. E ovviamente l’indicatore più forte è il buon senso: è davvero plausibile che un attore popolarissimo vada sui social network a cercare conforto sentimentale?

Fra l’altro, nel caso specifico di Brad Pitt il suo portavoce ha ribadito che l’attore non ha alcuna presenza nei social. In altre parole, tutti i “Brad Pitt” che trovate online sono degli impostori.

In coda a questa vicenda amara c’è però un piccolo dettaglio positivo: il racconto pubblico di questo episodio è diventato virale in tutto il mondo, per cui si può sperare che molte vittime potenziali siano state allertate grazie al coraggio di Anne nel raccontare quello che le è successo. E va ricordato che a settembre 2024 in Spagna sono state arrestate cinque persone durante le indagini su un’organizzazione criminale che aveva truffato due donne spacciandosi proprio per Brad Pitt, ottenendo dalle vittime ben 350.000 dollari.

Non sempre i truffatori la fanno franca, insomma, e se gli utenti diventano più consapevoli e attenti grazie al fatto che questi pericoli vengono segnalati in maniera ben visibile dai media, le vittime di questi raggiri crudeli diminuiranno. Più se ne parla, anche in famiglia, e meglio è.

Fonti

Brad Pitt’s team reminds fans he’s not on social media after a woman gets big-time scammed, LA Times

Brad Pitt AI scam: Top tips on how to spot AI images, BBC

French Woman Faces Cyberbullying After Forking Over $850,000 to AI Brad Pitt, Rollingstone.com

AI Brad Pitt dupes French woman out of €830,000, BBC

French TV show pulled after ridicule of woman who fell for AI Brad Pitt, The Guardian

French Woman Scammed Out Of $850k By Fake ‘Brad Pitt’—And The AI Photos Are Something Else, Comic Sands

How an AI Brad Pitt conned a woman out of €830,000, triggering online mockery, France 24 su YouTube

Une femme arnaquée par un faux Brad Pitt – La Story – C à Vous, YouTube (include approfondimenti, spezzoni del finto servizio televisivo, il commento dell’avvocato della vittima sulle responsabilità delle banche che hanno effettuato i trasferimenti di denaro)

La bufala dell’omeopatia: denuncia dei medici britannici, test di James Randi

Ultimo aggiornamento: 2024/08/18 14:40.

Leggo sul Corriere (e vedo anche sul Telegraph) che la British Medical Association ha definito “stregoneria” l’omeopatia e l’ha denunciata come uno spreco di soldi: 4 milioni di sterline l’anno (4,6 milioni di euro, 6,5 milioni di franchi) per prodotti che sono, in sostanza, acqua fresca. L’omeopatia, infatti, si basa sul principio della diluizione estrema del principio attivo. Così estrema che nel “medicinale” omeopatico non c’è neppure una molecola di questo principio. Pseudofarmaci del genere dovrebbero costare praticamente zero, eppure l’industria del settore vale 40 milioni di sterline solo nel Regno Unito. Il Department of Health precisa, però, che la spesa per i medicinali in sé, a carico del contribuente, ammonta a 152.000 sterline l’anno: il resto va in spese di assistenza e per il personale nei quattro ospedali omeopatici di Londra, Glasgow, Bristol e Liverpool.

La mozione della BMA mira ad eliminare l’omeopatia dai trattamenti pagati dal servizio sanitario nazionale ed entrerà a far parte delle regole dell’associazione se verrà approvata dalla sua conferenza plenaria il mese prossimo. Speriamo in bene, così chi vuole curarsi con il nulla sarà libero di farlo, ma a spese proprie.

Per una curiosa coincidenza, questa notizia mi è arrivata proprio mentre mi stavo godendo il video di James Randi (sottotitolato in italiano) che ingoia un’intera confezione di sonniferi omeopatici prima dell’inizio della sua relazione sulle pazzie dei sensitivi che frodano il prossimo al ritmo di 700 dollari per venti minuti al telefono. Ho sbagliato mestiere.

Per chi volesse saperne di più sull’omeopatia e sulle sue assurdità di fondo, consiglio questa serie di articoli su Medbunker: Introduzione all’omeopatia, Omeopatia: la conosciamo?, Omeopatia: l’incredibile caso del dottor Benveniste (più avvincente di un giallo, con tanto di complotto, ma non da parte dei soliti noti), e Omeopatia: funziona o no?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Svizzera, falso sito del quotidiano “La Regione” promuove truffa sugli investimenti usando il nome della Presidente della Confederazione

Svizzera, falso sito del quotidiano “La Regione” promuove truffa sugli investimenti usando il nome della Presidente della Confederazione

Un lettore, Marco, mi segnala il sito Inform24svi[zz].net (togliete le
quadre se volete riottenere il nome originale del sito), che al momento in cui
scrivo ospita questa imitazione truffaldina del quotidiano ticinese
La Regione (il cui sito reale è
Laregione.ch).

Screenshot dell’inizio del falso articolo.

Per i non svizzeri, Viola Amherd è la presidente di turno della Confederazione (il sistema elvetico è complicato) e quindi il suo nome è un richiamo molto forte e autorevole, ma qui viene usato abusivamente, come del resto viene abusato anche il nome della testata giornalistica.

Ovviamente non è vero che “i cittadini Svizzeri potranno ufficialmente andare in pensione a 45 anni”, come dice il titolo del falso articolo.

Lo scopo di questa falsificazione è promuovere una truffa basata su finti investimenti. L’articolo include infatti un modulo di iscrizione a un fantomatico “VortexValor” che promette a chi investe 250 franchi di “ricevere in media 3.000 CHF al mese sul proprio conto bancario. I profitti sono generati dal trasporto di gas e petrolio attraverso il nostro Paese verso altri Paesi. Come potete immaginare, veniamo pagati per questo. Lo ripeto ancora una volta. Non ci sono rischi, tutti gli investimenti possono essere restituiti in qualsiasi momento, il che è garantito dalla Banca Nazionale e dal nostro Ministero.” Ovviamente è tutto falso.

I malcapitati che abboccano a un’offerta troppo bella per essere vera come questa (ci sono sempre; lo so, perché mi contattano piangendo calde lacrime dopo aver “investito” migliaia di franchi) riceveranno una telefonata da un “manager” che li guiderà nel loro “investimento”. Traduzione: li spennerà facendo credere che stiano guadagnando montagne di soldi.

Il meccanismo di queste truffe è tipicamente questo: il “manager” crea un finto conto online di investimento per la vittima e incassa i primi 250 franchi. Il conto, consultabile via Internet dalla vittima, mostra quelli che sembrano essere rendimenti favolosi. È tutto finto: sono solo numeri su una pagina Web, generati dal software, ma sono presentati con una grafica curata e professionale.

Le vittime vengono sedotte da questi apparenti guadagni e, istigati dal “manager”, inviano altri soldi (reali) ai gestori della truffa con la speranza di guadagnare ancora di più. Ma, ripeto, è tutta una finzione.

La cosa che spiazza molte vittime è che se provano a prelevare i loro soldi da questi “conti”, li ricevono davvero, e questo aiuta a far sembrare serio e credibile l’intero meccanismo. Ma attenzione: i truffatori di solito non restituiscono mai più di quanto è stato versato. Ridanno alle vittime quello che hanno versato, ma mai di più. Se la vittima chiede di ricevere anche i presunti “guadagni”, il “manager” risponde con mille pretesti per rinviare o rifiutare la richiesta.

Il guadagno dei truffatori sta di solito nella mazzata finale: se vedono che la vittima è sedotta e investe soldi ma ne ritira anche una parte, gli propongono un affarone speciale, al quale bisogna aderire in fretta e che richiede un investimento ingente: 10.000 o più franchi, che (dice il finto manager) renderanno anche 100.000 franchi o più. La vittima, incantata dalla prospettiva di una cifra del genere, invia i soldi, chiede di prelevare almeno in parte i lauti guadagni… e a quel punto il “manager” scompare insieme ai soldi del malcapitato investitore.

Non inviate denaro a questi criminali; se ne avete inviato, consideratelo perduto per sempre. 

Se siete fra le vittime di questi imbroglioni, troncate ogni comunicazione con loro e fate una segnalazione (non una denuncia) alle vostre autorità di polizia. La polizia difficilmente potrà fare qualcosa per acciuffare i criminali o per ridarvi i vostri soldi, ma la segnalazione è importante perché se nessuno segnala questo genere di truffa le autorità non hanno idea di quanto sia diffusa, e senza dati e numeri sulla sua diffusione è difficile stanziare fondi o assegnare risorse al contrasto di questi reati.

Se avete dato ai truffatori numeri di carte di credito o coordinate bancarie, avvisate il vostro gestore o la vostra banca e vi dirà cosa fare. 

Se vi contatta qualcuno dicendo di essere un’autorità che è in grado di recuperare i vostri soldi, non credetegli: è un complice del truffatore, che vi chiederà altri soldi per “sbloccare” i vostri (inesistenti) guadagni. 

Se invece vi siete imbattuti in un sito-truffa di questo genere e volete segnalarlo alle autorità affinché venga bloccato, ci sono vari modi per farlo:

Un’altra cosa importante da fare è parlare in casa e agli amici di queste frodi, perché tutti abbiamo un amico o un parente particolarmente vulnerabile che potrebbe essere ingannato e tentato da questi criminali, che sanno essere convincenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – Frodi milionarie con numeri di telefono falsificati, in manette i fornitori: il caso Russian Coms

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunesGoogle PodcastsSpotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

[CLIP: Squillo di telefono]

Il vostro telefonino squilla all’improvviso. Sul suo schermo compare il numero della vostra banca. Rispondete, e una voce molto precisa e professionale vi informa, con il tono leggermente spassionato di chi ha detto queste stesse parole infinite volte, che è successo quello che temevate e che un po’ tutti temiamo. Dei criminali informatici hanno avuto accesso al vostro conto corrente.

Per fortuna la vostra banca ha bloccato il tentativo di frode e vi sta chiamando appunto per informarvi della situazione e per chiedervi di smettere di usare le vostre coordinate bancarie attuali e sostituirle con quelle nuove, che vi verranno dettate tra un momento. A voi non resta che trasferire il saldo del conto dalle coordinate attuali a quelle nuove, e tutto sarà a posto.

Ma come avete probabilmente intuito, la chiamata è una messinscena, il numero che compare sul vostro schermo è stato falsificato, la voce è quella alterata digitalmente di un criminale che finge di essere un funzionario antifrode, e le coordinate nuove servono per convincervi a trasferire volontariamente i vostri soldi su un conto controllato dal malvivente.

Fin qui niente di nuovo, ma questa non è la storia dell’ennesimo caso di frode bancaria informatica: è la storia di Russian Coms, un vero e proprio servizio commerciale di assistenza tecnica ai criminali, il cosiddetto crime as a service, che vendeva kit chiavi in mano per aspiranti truffatori e ha permesso di derubare centinaia di migliaia di persone in oltre cento paesi per un totale di svariate decine di milioni di dollari.

Dico “vendeva” perché Russian Coms è stato sgominato dalle forze dell’ordine, arrestando varie persone e soprattutto prendendo il controllo dei server sui quali i criminali gestivano i rapporti con la propria clientela, promettendo discrezione e riservatezza. Ma ora tutti i dati di quei rapporti sono nelle mani degli inquirenti, e sul canale Telegram di Russian Coms è comparso un avviso: “tutto è stato compromesso, non importa quale software stiate usando. Anche tutti gli altri fornitori sono stati compromessi”.

L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.

In altre parole, si salvi chi può.

Questo fuggi fuggi generale è un’occasione rara per gettare luce sulla filiera del crimine informatico e sulle sue tecniche, per riconoscerle e difendersi meglio, ma anche per rispondere a un paio di curiosità che magari vi siete posti: ma dove vanno esattamente i criminali online a procurarsi i ferri del mestiere? Vanno nel dark web? Sono tutti esperti del fai da te informatico, dediti al male? E poi, perché è possibile falsificare il numero del chiamante?

Benvenuti alla puntata del 9 agosto 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Questa storia inizia nel 2021, quando nasce un gruppo di criminali online che si fa chiamare Russian Coms anche se non ha nessun collegamento noto con la Federazione Russa. La sua specialità è offrire ad altri criminali servizi di caller ID spoofing, ossia di falsificazione del numero del chiamante. Servizi che fanno comparire sui telefonini delle persone chiamate un numero appartenente a una banca, a una compagnia telefonica o a una forza di polizia, per conquistare la fiducia di queste persone e aiutare così a carpirne i dati personali, le carte di credito e i soldi.

Russian Coms comincia offrendo ai propri clienti dei telefonini Android appositamente personalizzati, dotati di app finte che li fanno sembrare normali telefoni in caso di sequestro da parte della polizia, di VPN per rendere meno tracciabili le attività criminali per le quali vengono usati, e anche di una app di autodistruzione che cancella istantaneamente la memoria dello smartphone in caso di necessità. Successivamente offre anche lo stesso servizio tramite una web app.

Russian Coms propone contratti di sei mesi che costano circa 1300 euro in tutto, sono pagabili con criptovalute e vengono pubblicizzati su Snapchat, Instagram e Telegram, e su un normalissimo sito Web, Russiancoms.cm. Non provate a visitarlo adesso: non ci troverete nulla. Lo so perché ho provato io per voi.

Avete capito bene: niente dark web, ma tutto sfacciatamente alla luce del sole, sul Web normale, sui social network, come se niente fosse.

Le offerte di contratto sul sito Web di Russian Coms. Fonte: National Crime Agency.

Il servizio è completo e professionale: le chiamate sono cifrate, viene offerto un software che altera la voce in tempo reale, i costi delle telefonate internazionali sono inclusi nel canone, e naturalmente c’è un’assistenza clienti disponibile ventiquattr’ore su ventiquattro, sette giorni su sette. Un livello di customer care invidiabile, migliore di quello di tante aziende regolari.

Gli affari di Russian Coms vanno bene. I suoi clienti arrivano a saccheggiare conti correnti in ben 107 paesi, dagli Stati Uniti alla Norvegia, dalla Francia alle Bahamas. Fra il 2021 e il 2024, gli utenti paganti di Russian Coms effettuano milioni di chiamate a milioni di vittime, fingendo di rappresentare aziende di buona reputazione e facendosi dare soldi per merci mai consegnate, spacciandosi per banche per accedere ai conti correnti delle persone chiamate, e organizzando in alcuni casi il ritiro fisico, fatto di persona, di carte di debito e di credito con la scusa che andavano sostituite per motivi di sicurezza. Il sistema funziona. Nel Regno Unito, per esempio, il danno medio ammonta a oltre 9000 sterline (circa 10.000 euro o franchi) per ciascuna delle circa 170.000 vittime.

Ma a marzo 2024 le cose prendono una brutta piega per i membri di Russian Coms.

Dopo mesi di indagini, gli agenti della National Crime Agency britannica arrestano due uomini di 26 e 28 anni a Londra. Gli inquirenti ritengono che si tratti degli sviluppatori e degli amministratori del servizio.

Nei giorni successivi, il sito di Russian Coms viene disattivato, e il 12 aprile viene arrestato, sempre a Londra, un altro uomo che viene considerato uno degli addetti alla consegna di persona degli smartphone modificati. Pochi giorni fa è stato arrestato, sempre nel Regno Unito, uno dei clienti di Russian Coms, e inoltre l’Europol ha in corso altre operazioni analoghe in vari altri paesi.

Gli agenti britannici hanno reso pubblici i dettagli di questa vicenda il primo agosto scorso, pubblicando anche un video dell’irruzione e dell’arresto e una schermata tratta dal sito di Russian Coms che ne illustra il tariffario.

[rumore dell’irruzione]

Sul canale Telegram di Russian Coms i messaggi dei criminali sono stati sostituiti da un avviso che informa la clientela, per così dire, che il servizio “è ora sotto il controllo delle forze dell’ordine internazionali” e annuncia che “La polizia verrà a trovarvi presto”, con tanto di emoji sorridente ma non troppo.

L’avviso sul canale Telegram di Russian Coms. Fonte: National Crime Agency.

La National Crime Agency sottolinea che anche se le tecnologie sofisticate e le tecniche professionali usate da gruppi come Russian Coms “promettono l’anonimato, a insaputa dei loro utenti criminali registrano e conservano i loro dati, e quindi è possibile identificare chi sono e come operano”.

Il fatto che i server dei fornitori del servizio siano stati acquisiti dalle forze dell’ordine implica un bottino ingentissimo di dati, e soprattutto di identità di vittime e truffatori, che fotografa l’intera organizzazione e la sua clientela con un dettaglio che si vede di rado. La polizia londinese ha dichiarato di aver svolto controlli incrociati su oltre 100.000 dati, compresi indirizzi IP, numeri di telefono e soprattutto nomi, per identificare i sospettati e rintracciare anche le loro vittime.

L’obiettivo di questo intervento e del suo annuncio al pubblico è minare in generale la fiducia dei malviventi in questi fornitori di servizi e quindi spezzare la filiera del crimine organizzato, ma è anche un’occasione per ricordare al pubblico alcune regole di cautela da adottare per non finire tra le vittime di questi professionisti dei reati digitali.

Se ricevete una chiamata inattesa di qualcuno che dice di rappresentare la vostra banca, un servizio finanziario, un corriere o qualunque ente ufficiale e vi mette sotto pressione chiedendovi di prendere una decisione immediata riguardante del denaro oppure vi chiede dati personali, riagganciate e chiamate subito il numero che trovate sul sito dell’ente o del servizio in questione o sul retro della vostra carta di credito o di debito. Nessuna azienda seria e nessun ente vi metterà mai fretta chiedendovi di prendere subito decisioni importanti per telefono.

Vicende come quella di Russian Coms rivelano che i criminali online non sono tutti esperti del settore, non sono tutti geni malvagi dell’informatica: sono molto spesso dei semplici consumatori opportunisti, a volte inetti, di tecnologie sviluppate da altri e comprate chiavi in mano, senza sapere nulla del loro funzionamento, e possono commettere questo tipo di reati solo perché trovano facilmente chi fornisce loro i grimaldelli informatici necessari.

C’è anche un altro aspetto messo in luce da questo successo delle forze di polizia contro il crimine online, ed è il fatto a prima vista assurdo che il sistema telefonico mondiale consenta di falsificare il numero del chiamante.

Se non ci fosse questa possibilità, i malviventi perderebbero un appiglio psicologico molto importante nel costruire la propria credibilità e nel conquistare la fiducia delle loro vittime, che non si aspettano che esista una funzione del genere e si fidano del numero che vedono sul proprio schermo. Ma allora perché gli operatori telefonici non cambiano le cose, visto che questa possibilità di falsificazione consente frodi da decine di milioni di dollari come quella di Russian Coms?

La risposta, poco intuitiva, è che in realtà ci sono dei casi legittimi nei quali chi chiama ha bisogno di far comparire un numero differente da quello effettivo, come per esempio un call center che effettua chiamate per conto di varie aziende, oppure una ditta che ha varie sedi ma vuole presentarsi ai clienti sempre con lo stesso numero per non creare confusione, e quindi le compagnie telefoniche devono lasciare aperta questa possibilità.

Tuttavia possono mettere delle regole, per cui per esempio il numero da visualizzare (il cosiddetto Presentation Number) non può appartenere a un paese differente da quello del numero effettivo (il cosiddetto Network Number). E infatti alcuni operatori telefonici lo fanno [lo spiega qui Ofcom per il Regno Unito]. Ma per tutta risposta, i criminali eludono questo filtro procurandosi numeri di telefono nazionali.

Per ogni difesa, insomma, i malviventi inventano un attacco che la scavalca dal punto di vista strettamente tecnico. Ma se si riesce a far salire il costo e la complessità di questo attacco, diventa meno conveniente effettuarlo e le persone capaci di compierlo e di procurarsi le risorse necessarie diventano meno numerose. E se la difesa adottata costringe per esempio gli aggressori a usare numeri di telefono del paese che vogliono colpire, quei criminali non possono più agire impunemente dall’estero ma devono risiedere localmente, e questo non solo complica la logistica di questi reati ma rende enormemente più semplici gli interventi di giustizia e di polizia, che non vengono più ostacolati dalla necessità di rogatorie e coordinamenti internazionali interforze.

Le soluzioni tecniche, dunque, ci sono [STIR/SHAKEN, CLI authentication, eccetera]; il problema è mettere d’accordo tutti gli operatori del mondo su quale soluzione adottare, coordinarli su questa adozione senza trovarsi con interi paesi bloccati per errore, e convincerli ad affrontare la spesa del cambiamento. Buona fortuna.

In attesa di quel momento, a noi utenti non resta altro che imparare a essere diffidenti su tutto, anche su un concetto in teoria elementare come il numero di telefono di chi ci chiama e ci compare sullo schermo.

Fonti
Antibufala: la misteriosa “raccomandata elettronica” da TIM non è una truffa o un malware

Antibufala: la misteriosa “raccomandata elettronica” da TIM non è una truffa o un malware

Ultimo aggiornamento: 2024/05/04 13:05.

Se avete ricevuto una mail contenente un “Avviso di giacenza posta raccomandata” spedito da Tnotice.com etichettata “Per conto di TIM S.p.A.” e avete sospettato che si trattasse di una truffa o di un tentativo di attacco informatico, non siete i soli e non avete tutti i torti.

Già un mittente strano come Tnotice.com fa insospettire, ma il messaggio contiene anche gli errori dilettanteschi sono tipici delle mail dei truffatori:

  • no replay al posto di no reply (nella mail)
  • retire the message come traduzione maccheronica di ritira il messaggio (to retire significa “pensionare”)
  • frequent ask questions al posto di frequently asked questions 
  • informations, che persino uno studente al primo anno d’inglese sa che non ha il plurale (è un uncountable)

A chi ha confezionato e approvato questa roba andrebbe regalata una canna da pesca insieme a un prepensionamento anticipato in modo che non possa più fare altri danni.

Fra l’altro, questa “raccomandata elettronica” può essere ritirata da chiunque abbia la mail ricevuta: basta dare un numero di telefono qualsiasi per ricevere via SMS il codice di accesso.

Se volete sapere cosa contiene questa “raccomandata”, ecco il testo che ho ricevuto io: un paragrafo unico di burocratese stretto che parla di un possibile rimborso per la pratica delle bollette con periodicità di 28 giorni.

Oggetto: TIM Informa

Il Tribunale di Milano, Sezione Undicesima Civile, all’esito dell’azione ordinaria promossa da Associazione Movimento Consumatori, ha inibito a TELECOM ITALIA S.P.A. l’adozione, l’uso e gli effetti nei contratti di telefonia fissa (o di altri servizi offerti in abbinamento alla telefonia fissa) stipulati con i consumatori, di clausole che prevedono rinnovi e pagamenti su base temporale di 28 giorni/8 settimane. L’adozione e l’uso di tale periodicità, a far data dal 01.04.2017, ha leso e lede i diritti e gli interessi collettivi dei consumatori, previsti dall’art. 2 Codice del consumo (1: diritto ad un’adeguata informazione ed ad una corretta pubblicità; 2: diritto a pratiche commerciali improntate a principi di buona fede, correttezza e lealtà; 3: diritto alla correttezza, alla trasparenza ed all’equità nei rapporti contrattuali) con violazione anche dei contenuti informativi minimi e del principio di trasparenza, previsti a favore dei consumatori utenti di servizi telefonici dagli artt. 70 e 71 Codice delle comunicazioni elettroniche. Tale condotta si risolve altresì in una pratica commerciale scorretta ingannevole, vietata dall’art. 20 Codice del consumo, in quanto l’adozione di tale periodicità (28 giorni), diversa da quella d’uso, risulta contraria alla diligenza professionale ed è idonea a falsare in maniera apprezzabile il comportamento economico del consumatore medio, rendendo difficile la valutazione delle offerte ed il confronto tra le medesime, anche ai fini dell’esercizio della facoltà di recesso gratuito, prevista dalla legge in caso di mutamento unilaterale delle condizioni del servizio da parte dell’operatore telefonico. L’illegittimità della condotta sopra descritta comporta il diritto di ciascun consumatore che abbia subito, nell’ambito di un contratto di telefonia fissa (o di altri servizi offerti in abbinamento alla telefonia fissa), l’adozione della periodicità di fatturazione a 28 giorni/8 settimane, alla ripetizione delle somme indebitamente corrisposte.

Puoi effettuare la tua richiesta on line dalla Home Page del sito tim.it nella sezione «TIM Sempre al tuo fianco» compilando il modulo dedicato, indicando il seguente codice unico [omissis].

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – Story: Dietro le quinte delle truffe sugli investimenti in criptovalute

logo del Disinformatico

È disponibile subito il podcast di oggi de
Il Disinformatico
della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto:
lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.

[CLIP: voce di donna complice dei truffatori che parla con una delle
vittime: “Nice to see you, I will message on WhatsApp, OK?”]

Pig butchering: letteralmente, “macellazione del maiale”. È il nome
spietato che viene usato dai criminali informatici per indicare un particolare
tipo di truffa online basata su un misto di belle ragazze, criptovalute, false
app e soprattutto call center organizzatissimi dove lavorano
migliaia di persone. Se siete stati contattati da qualcuno che vi offre metodi
rapidi per fare soldi con Bitcoin e simili e avete cominciato a fidarvi perché
vi sono davvero arrivati dei soldi sul vostro conto corrente, fate
attenzione: è quasi sicuramente una truffa.

Questa è la storia di un caso concreto di pig butchering, portato alla
luce da un esperto del settore, che mostra l’incredibile sofisticazione
raggiunta da queste bande criminali organizzate e rivela dove si trovano le
loro sedi operative e le tecniche usate per ingannare le vittime.

Benvenuti alla puntata del 22 marzo 2024 del Disinformatico, il podcast
della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane
dell’informatica. Io sono Paolo Attivissimo: un po’ giù di voce, come potete
sentire.

[SIGLA di apertura]

Lo schema della truffa

Da alcuni anni su Internet è facile imbattersi in una truffa che è
particolarmente crudele già a partire dal suo nome: viene chiamata
pig butchering, ossia “macellazione del maiale”, perché è così che i criminali vedono le
proprie vittime. I truffatori selezionano i propri bersagli usando le
informazioni che trovano sui social network: età, situazione sentimentale,
foto. Scelgono le persone che non hanno un partner e che mostrano nelle
fotografie sui social un’età adulta e suggeriscono una certa disponibilità
economica significativa perché mostrano per esempio la loro auto, il loro
abbigliamento o le immagini dei loro viaggi.

Una volta scelta la vittima, i criminali la circuiscono con il metodo ormai
tristemente classico del romance scam o truffa sentimentale: si
presentano come uomini o donne molto attraenti, intrecciano una lunga
relazione a base di messaggi e foto, senza chiedere nulla di insolito,
diventano conoscenti di lunga data e si conquistano la fiducia del bersaglio
con parole affettuose e una presenza costante e piacevole.

L’inganno scatta solo dopo settimane o anche mesi di corteggiamento, ma a
differenza della truffa classica, nella quale il criminale finge di avere
bisogno di soldi temporaneamente per tirarsi fuori da un guaio burocratico o
di salute, nel pig butchering non c’è nessuna richiesta di denaro,
almeno inizialmente, e questo fa abbassare ancora di più le difese
psicologiche delle vittime.

A un certo punto il truffatore, ormai diventato uno di famiglia per la sua
vittima, “rivela” a quella vittima di aver fatto un ottimo investimento in
criptovalute e le propone di fare altrettanto, dandole tutte le istruzioni
necessarie su come versare i soldi per aprire un conto. Ma l’investimento non
esiste, il conto è una finzione gestita dal truffatore o da suoi complici, e i
soldi investiti dalla vittima non verranno mai restituiti integralmente.

Fin qui lo schema è abbastanza noto, anche se c’è sempre qualcuno che non lo
conosce e ci casca perdendo somme ingenti, a giudicare dalle telefonate e
dalle mail che mi arrivano continuamente: ma grazie all’esperto di truffe
informatiche Jim Browning possiamo andare oltre questo schema astratto e
vedere concretamente dove e come lavorano questi criminali.

Dentro la sede dei criminali

Browning ha infatti pubblicato su Youtube un’inchiesta
in cui mostra come funziona in dettaglio questa truffa, con immagini girate
all’interno degli edifici dove lavorano migliaia di persone che passano la
giornata a cercare online vittime da sedurre e derubare in tutto il mondo.

Se vi siete mai chiesti come facciano le persone a cadere in queste trappole,
la ragione principale è che sono costruite in maniera estremamente
professionale, assumendo persino delle modelle in carne e ossa per fare le
conversazioni online con le vittime.

Nel caso descritto da Browning, la sede dei criminali è un grande complesso di
edifici ad alcuni chilometri dal centro di Dubai, negli Emirati Arabi Uniti.
Otto palazzine di otto piani occupate in buona parte da un esercito di
imbroglioni, così numeroso che è stato necessario installare un’antenna
cellulare mobile apposita per gestire tutto il loro traffico telefonico.
Browning indica l’indirizzo preciso, perché tanto sa benissimo che entro pochi
giorni questi professionisti del crimine avranno già traslocato altrove.

Questi edifici sono pieni di postazioni dotate di computer, sui quali sono
installate le app di vari siti di incontri per persone in cerca di compagnia.
È questo il serbatoio iniziale dal quale i truffatori pescano le proprie
vittime, usando delle VPN per fingere di essere in un paese insospettabile e
così eludere i controlli dei gestori di questi siti di incontri.

Il copione di chi lavora a queste postazioni è sempre lo stesso: fingere di
essere una persona facoltosa e attraente che ha uno stile di vita molto
dispendioso, esibito tramite foto e video eloquenti. I gestori della truffa
gli affidano un personaggio preciso e dettagliato e gli forniscono un software
che traccia altrettanto dettagliatamente l’andamento di ciascun tentativo di
raggiro.

Dopo aver agganciato la vittima su un sito di incontri, facendo per esempio
con lui o con lei delle chat romantiche o erotiche, il criminale cerca sempre
di portare la conversazione fuori da questi siti, che sono monitorati contro
le truffe, e invita a proseguirla su WhatsApp o su Telegram, dove non c’è
nessuna salvaguardia.

La conversazione prosegue in maniera inizialmente innocente, con un po’ di
chiacchiere per presentarsi e magari qualche foto di qualche piatto consumato
in un ristorante costoso ed esotico. Il truffatore dice di lavorare nel
settore della finanza, e a un certo punto si offre di condividere alcuni dei
suoi trucchi per fare soldi. Un’offerta molto generosa da fare a un perfetto
sconosciuto, e questo dovrebbe insospettire, ma l’inganno è costruito così
bene che il sospetto passa in fretta.

I truffatori, spiega Browning, adoperano un’app chiamata Hello World Pro, che
è capace di gestire varie sessioni Telegram e WhatsApp contemporaneamente e
traduce la conversazione dall’inglese, che è la lingua solitamente parlata dal
criminale, verso la lingua della vittima. C’è anche un gruppo Telegram usato
da tutti i truffatori della banda per comunicare con i propri capi e i propri
colleghi.

Gli operatori di questi call center professionalissimi sono in molti casi dei
migranti, che vengono sfruttati dai gestori, che sono cinesi. I contratti sono
in inglese e cinese; tutti i computer sono impostati in cinese e anche le reti
Wi-Fi usate nei call center hanno nomi cinesi. Gli operatori lavorano e vivono
come schiavi e i loro datori di lavoro sequestrano i loro passaporti.

Le dimensioni di questa organizzazione, una delle tante del suo genere, sono
impressionanti. Browning riesce a procurarsi la planimetria degli edifici in
cui si svolge la truffa e nota che ci sono oltre cinquanta stanze per piano, ciascuna
stanza è occupata da quattro operatori, e ci sono otto piani per ciascuno dei
quattro edifici coinvolti. Probabilmente qui lavorano oltre mille persone,
reclutate tramite il passaparola dicendo che si tratta di un lavoro di
marketing regolare.

Solo dopo che il lavoratore firma il contratto e inizia a lavorare si rende
conto che si tratta di una truffa, con tanto di copione dettagliato di una
quindicina di pagine, che si articola su vari giorni, fatto apposta per
conquistare man mano la fiducia della vittima. Gli operatori vengono pagati a
commissione: se non riescono a reclutare vittime non prendono soldi e vengono licenziati e
rimpiazzati da altri disperati in cerca di lavoro.

Tutta questa organizzazione, però, serve solo per gestire il primo livello
della truffa, perché la trappola è ancora più complessa.

Trappola professionale

Per riuscire a convincere una persona ad affidare a uno sconosciuto i propri
soldi, magari i risparmi di una vita, è necessario costruire una situazione di
fiducia, e per farlo i gestori della truffa assumono anche modelle in carne e
ossa, donne attraenti reali, e organizzano videochiamate fra queste donne e le
vittime, guidandole anche qui con un copione, per far vedere che la persona
con la quale le vittime stanno chattando esiste veramente.

[CLIP: voce di donna complice dei truffatori che parla in videochiamata in diretta con una delle vittime: “Nice to see you, I will message on WhatsApp, OK? OK, thank you, bye bye, gracias”]

Browning riesce anche a mostrare una di queste modelle grazie a delle riprese
effettuate da un lavoratore pentito.

[CLIP: voce di donna che parla in inglese a un interlocutore nel call center]

Lei dice senza troppi giri di parole che
le sue uniche alternative erano fare la escort o fare video per le piattaforme
di pornografia e siccome non voleva che la sua famiglia la vedesse su un sito
a luci rosse ha scelto questa carriera. E così si presta a conquistare la
fiducia di gente che, grazie a lei, perderà tutti i propri soldi.

Nella fase successiva del raggiro, la modella invita la vittima a iscriversi a
un servizio legittimo di compravendita di criptovalute, come per esempio
Binance. I gestori della truffa le mettono a disposizione screenshot già
pronti, con freccine esplicative chiarissime, per spiegare alle vittime
esattamente come procedere. È tutto molto, molto professionale e rassicurante.

È solo a questo punto che scatta la trappola vera e propria. Browning spiega
che i truffatori chiedono alla vittima di scaricare un’app di compravendita di
criptovalute, che è accompagnata da precisi video tutorial su YouTube che
spiegano come usarla e da recensioni che ne confermano in apparenza la bontà e
affidabilità totale. Ma l’app, i tutorial e le recensioni sono tutte parte
della finzione: i gestori si intascano subito i soldi investiti dalla vittima
e non fanno altro che mostrare un saldo fittizio sullo schermo del telefonino.

Fra l’altro, molti di questi truffatori invitano le vittime a reclutare altre
persone, in un classico schema a piramide, col risultato che può capitare che
la proposta di iscriversi a questo raggiro ci arrivi da un amico di cui ci
fidiamo e che è caduto nella trappola. Attenzione, quindi, anche agli amici
che ci promettono rendimenti mirabolanti.

Un altro modo usato dai truffatori per rendersi credibili è restituire alle
vittime una parte del denaro che hanno investito. Sì, i soldi arrivano
davvero, e vanno veramente sul conto della vittima presso una banca regolare.
Ma non sono mai tutti quelli affidati ai criminali.

Ci possono essere molte variazioni a questo schema generale, ma il principio
di fondo è che una persona molto attraente, solitamente una giovane donna, vi
contatta su WhatsApp o in un sito di incontri e dopo un po’ vi incoraggia a
investire i vostri soldi in qualche affare online che probabilmente non avete
mai sentito nominare. Se lo fate e poi cercate di farvi ridare il vostro
denaro, salterà fuori che il bonifico è in attesa di approvazione o ci sarà
qualche altra scusa, e non rivedrete mai tutti i soldi che avete inviato.

Se vi riconoscete in questa descrizione, troncate i rapporti con i truffatori,
e non mandate loro altri soldi sperando che vi ridiano quelli già dati: sono
persi. Segnalate la vicenda alla polizia, che ne ha bisogno a fini statistici,
e non fidatevi di sedicenti società di recupero di criptovalute che vi
contatteranno promettendo di farvi riavere i vostri risparmi se solo anticipate le
spese: sono complici dei truffatori. E se conoscete qualcuno che si trova in
questa situazione, avvisatelo che è caduto in una trappola estremamente
professionale, e preparatevi al fatto che non vi crederà.

Vista la provenienza specifica dei capibanda, è proprio il caso di dire che si
tratta di uno schema crudelissimo a scatole cinesi, in cui l’unico modo per
vincere è non partecipare. Fate attenzione, e mettete in guardia amici e
colleghi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.