La corsa ai regali di Natale e l’intensificarsi vertiginoso degli acquisti online possono nascondere insidie per i consumatori. Le Feste sono infatti uno dei periodi dell’anno in cui fioccano le truffe su internet, come l’ultima che sembra andare per la maggiore negli ultimi giorni: quella del “pacco in giacenza” (attenzione anche alla truffa dei saldi: come difendersi).
La truffa del “pacco in giacenza”
L’allarme è stato lanciato dalla polizia postale, che ha registrato un drastico incremento del traffico di mail e messaggi legati a questa strategia di phishing. Il meccanismo escogitato per irretire l’utente è grossomodo sempre lo stesso.
L’utente riceve una mail che avverte che la consegna di un fantomatico pacco è “bloccata” e che, per far ripartire l’iter, è necessario inserire i propri dati sensibili cliccando su un link. E, come spesso accade, i messaggi di posta elettronica presentano mittenti che sembrano assolutamente affidabili. Anche in questo caso la tattica è sempre la stessa: i truffatori richiamano e simulano diciture delle Poste o di alcuni dei corrieri più noti.
Occhio ai messaggi e ai link: cosa c’è scritto
Anche i siti cui rimandano i link contenuti nella mail sembrano “insospettabili”, in quanto graficamente uguali agli originali. La truffa ha più probabilità di successo se la mail viene aperta e letta da cellulare, spiega la polizia postale, mentre accedere al messaggio tramite computer rende più chiaro l’indirizzo online truffaldino (occhio anche alla truffa del pellet: migliaia di italiani a rischio).
L’oggetto e il messaggio parlano insomma di un pacco in giacenza. I motivi del blocco spiegati nella mail sono vari: si va dalla mancanza di alcune informazioni necessarie per poter portare a termine la consegna alla richiesta di tracciare e seguire la spedizione. In alcuni casi, riferisce sempre la polizia postale, il testo si fa più esplicito e invita a intervenire “entro 48 ore” altrimenti “il pacco tornerà al mittente” o addirittura viene richiesto un pagamento per sboccare la spedizione, dichiarando che è bloccata alla dogana.
Come riconoscere il link “falso”
Al di là del contenuto più o meno convincente del testo, l’attenzione dell’utente viene dirottata sul link per ottenere il clic. Proprio al link bisogna prestare attenzione: non ha quasi mai la certificazione SSL (non inizia infatti con “https”, ma solo con “http”). Il modo migliore per proteggersi, aggiunge la polizia postale, è anche quello più ovvio: non cliccare sul collegamento ipertestuale.
Quest’ultimo riconduce infatti a una pagina che invita a effettuare un versamento per sbloccare la consegna del pacco. Basta questo clic a consentire agli hacker di accedere ai dati personali dei consumatori.
Dalle mail ai messaggi
La truffa di Natale non viaggia però solo tramite mail: sempre più spesso agli utenti vengono inviati anche sms e mms sul cellulare. Per evitare la ricezione, la strategia migliore è quella di bloccare il mittente o i vari mittenti nel caso in cui i messaggi provengano da numeri sempre diversi.
Cliccare su uno di questi link può comportare anche l’inserimento in una delle cosiddette “catene di Sant’Antonio”. La segnalazione in questo caso proviene di solito dai propri contatti, allertati dalla ricezione di messaggi “strani” inviati dall’utente “hackerato”, ovviamente a sua insaputa. In questo caso si consiglia di formattare il dispositivo infettato, di informare i propri contatti in rubrica e di modificare tutte le password utilizzate, da quelle dei social a quelle di accesso alle app.
