Gennaro Andele

Da molti anni ormai, con lo sviluppo delle nuove tecnologie dell’informazione, l’attività economica online ha acquistato sempre più importanza: è infatti diventato parte del nostro quotidiano accedere al conto in banca ed effettuare pagamenti da casa, così come fare acquisti online.

Da marzo 2020, poi, con le limitazioni ai movimenti dei cittadini dovute alla pandemia da Covid-19, le transazioni tramite Internet sono aumentate a dismisura.

Questo incremento dei pagamenti via web fa anche crescere l’interesse da parte dei criminali informatici, che trovano terreno fertile per nuove truffe phishing.

Tra la fine del 2020 inizio del 2021, mentre tutti gli sguardi si indirizzavano verso la nuova informativa privacy di Whatsapp, alcuni truffatori hanno approfittato del momento per avviare una campagnia di phishing sfruttando proprio il nome di tale compagnia.

Attraverso l’invio di una mail, si suggerisce agli utenti dell’app di messagistica di rinnovare la registrazione per evitare la prossima chiusura dell’account con tanto di perdita di messaggi, foto, ecc. A questo fine viene richiesto all’”utente target” l’inserimento dei dati della propria carta di credito (numero di carta, codice di sicurezza, password, ecc.) così da rinnovare il servizio per un periodo da 1 a 5 anni. Si tratta di un classico esempio di phishing il cui obbiettivo è rubare i dati bancari degli utenti. Come è noto, infatti, il servizio di messagistica whatsapp è gratuito e non necessita quindi di nessun pagamento.

In precedenza, campagne simili condotte da criminali digitali hanno colpito gli utenti di diverse banche. In quel caso, la mail utilizzava come pretesto l’aggiornamento dell’informativa privacy per richiedere l’aggiornamento dei dati degli utenti. In realtà, essi erano reindirizzati verso una pagina del tutto estranea alla banca e i dati così inseriti potevano essere tranquillamente derubati dai truffatori.

In altri casi, i criminali informatici hanno utilizzato come pretesto il blocco degli account PayPal dei loro target per colpa di “attività sospette” oppure si sono serviti di tale piattaforma per ricevere una somma di denaro a seguito della vendita di un oggetto online. In entrambi i casi, l’email inviata agli utenti chiedeva di cliccare su un link e inserire i dati personali per completare la vendita o per sbloccare l’account.

Un variante del phishing è lo smishing: phishing condotto attraverso SMS. Un esempio: recentemente sono stati inviati diversi sms che sembravano provenire dall’INPS e in cui si chiedeva di cliccare su un link per modificare la propria domanda di bonus di 600 euro.

L’utente veniva poi reindirizzato su una pagina simile a quella dell’INPS dove era invitato a scaricare un’App malevola: un malware bancario per Android con l’obbiettivo di sotrarre alle vittime le password di accesso e i codici di autenticazione inseriti nelle App o nei siti di web banking.

Per visualizzare l'intera discussione, completa di domanda e risposta, clicca qui.