Quando faccio raccomandazioni di sicurezza su come proteggere gli account sui social network, una delle obiezioni più frequenti che sento è “Ma perché mai qualcuno dovrebbe tentare di rubarmi il profilo Facebook o di clonarmelo? Io non sono nessuno.” E a quel punto scatta l’apatia.
Una risposta molto chiara a questa domanda arriva in queste ore da una truffa che sta facendo parecchie vittime in Svizzera e particolarmente nel Canton Ticino, dove abito, e che toglie dalla bolletta o dal credito telefonico 100 franchi (poco meno di cento euro).
La truffa inizia così: l’utente preso di mira riceve su Facebook (via Messenger), da un amico o un’amica, una richiesta apparentemente innocua, del tipo “Mi mandi il tuo numero di telefono? Serve per un concorso”.
Quando la vittima risponde dando il numero, l’amico ringrazia mandando alla vittima informazioni sul concorso, che si svolge via SMS, e chiedendo di mandargli il codice a quattro cifre che la vittima riceverà per questo concorso. La vittima segue l’invito dell’amico e subito dopo si vede sottrarre i soldi dal conto telefonico. Come è possibile?
Sulla base del resoconto pubblicato da Tio.ch, la dinamica della truffa dovrebbe essere la seguente.
1. Prima di tutto, l’amico è in realtà un impostore: un criminale che ha rubato l’account all’amico vero o gliel’ha clonato (creandone una copia con lo stesso nome e la stessa foto di profilo) e si spaccia per lui, conquistando così la fiducia della vittima.
2. Il truffatore chiede alla vittima il numero di telefono per immetterlo nel servizio di pagamento Sunrise Pay dell’operatore Sunrise, che consente di fare acquisti (per esempio di codici iTunes) addebitandoli sul conto telefonico del numero immesso.
3. Il servizio Sunrise Pay è protetto da un PIN di quattro cifre, che viene inviato al numero immesso, che in questo caso è quello della vittima.
4. La vittima manda questo PIN al truffatore, credendo che si tratti di un amico e senza rendersi conto che è un codice di sicurezza: pensa che sia un codice per partecipare a un concorso.
5. Il truffatore immette il PIN nella schermata di acquisto, dalla quale riceve i codici iTunes, che fa pagare alla vittima.
6. Il truffatore incassa rivendendo online i codici iTunes.
Come difendersi
Per prima cosa, non date a nessuno, ma proprio a nessuno, qualunque PIN ricevuto tramite questo servizio o qualunque altro.
In secondo luogo, attivate il blocco di questa funzione Sunrise Pay usando queste istruzioni fornite dall’operatore telefonico. Notate che la funzione di acquisto è abilitata automaticamente per tutti gli utenti di Sunrise: spetta a voi scoprire che esiste, scoprire che è abilitata, e decidere di disabilitarla.
Terzo, se dall’account di un vostro amico arrivano improvvisamente messaggi molto sgrammaticati, insospettitevi: probabilmente l’account è stato rubato o clonato da un impostore che non parla correntemente la lingua del vostro amico.
Per finire, attivate la verifica in due passaggi sui vostri account nei social network, in modo da rendere più difficile rubarveli grazie a password ovvie o usate per più di un sito e rendete privato l’elenco dei vostri amici in modo che un clonatore non possa sapere a chi mandare i messaggi-esca: in Facebook (su computer, non su smartphone), andate alla vostra Lista amici, cliccate su Visualizza tutti gli amici, cliccate sulla matitina accanto a Trova amici, scegliete Modifica privacy e impostate a Solo io tutte e tre le voci che compaiono.
Stando sempre alle schermate pubblicate da Tio.ch, la truffa funziona particolarmente bene in Canton Ticino perché il PIN arriva sul telefonino della vittima all’interno di un messaggio in tedesco, lingua nazionale che non tutti i ticinesi masticano disinvoltamente, per cui l’avvertenza “nicht an Dritte weitergeben” (non inoltrare a terzi) che accompagna il PIN non viene capita. La stessa sorte d’incomprensione linguistica tocca anche al messaggio successivo di ringraziamento per l’acquisto effettuato.
Risarcimento e rintracciamento dei truffatori
Se siete stati colpiti da questa truffa, le vostre probabilità di risarcimento sono molto modeste, perché dando a terzi il PIN non avete rispettato le istruzioni di sicurezza fornite da Sunrise. Tuttavia vale la pena di segnalare all’operatore telefonico il problema, se non altro per informarlo della diffusione della truffa e magari incoraggiarlo a mandare avvisi chiari anche in italiano. Prendete questa truffa come un buon incentivo a imparare il tedesco.
I truffatori sono difficili da rintracciare: Sunrise probabilmente ha solo il loro indirizzo IP (facilmente falsificabile) e poco altro. Forse potrebbe informare Apple segnalandole che i codici iTunes sono stati ottenuti in modo fraudolento, ma bisognerebbe vedere se Sunrise ha modo di conoscere i dettagli di una transazione o se Apple, per sicurezza, glieli nasconde.
Morale della favola
Adesso dovrebbe essere chiaro che qualunque account social può essere preso di mira dai ladri d’identità: non importa di chi è o cosa contiene o non contiene. Proteggetevi.
Paolo Attivissimo