Scam e Scammer, cosa sono? Come proteggersi?

Phishing, vishing, smishing, truffe web o truffe via e-mail: tutti questi sinonimi fanno parte della cospicua categoria di attacchi informatici definiti scam, in italiano truffe online. Sono molti, anzi, il loro numero è definitivamente incalcolabile considerato che ogni giorno circa 250 campagne scam vengono immesse sul web (fonte: Panorama.it).

Nello specifico se parliamo di scam, intendiamo indicare ogni tentativo di truffa via web che ha l’obiettivo di sottrarre informazioni o dati sensibili alla vittima ma anche rubare somme di denaro (non particolarmente ingenti, ma significative) a danno dell’ignaro utente.

Nell’articolo affronteremo insieme questa tematica punto per punto.
Ci assicureremo che i nostri lettori possano ricevere tutte le informazioni sul pericolo scam e su chi architetta questo genere di truffa, ovvero gli scammer.

1. Definizione di Scam

2. Siti di scam

3. Cos’è uno scammer: che cosa significa

4. Come funzionano le truffe scam

5. Alcuni tipi di scam

6. Come difendersi dallo scam

7. Sono stato truffato da uno scammer: cosa posso fare?

Scam in italiano significa letteralmente truffa.

Lo scam, in informatica, fa riferimento ad un processo illegale per ottenere dati sensibili o denaro da parte di una persona tramite l’inganno.

Il termine scam si riferisce ad ogni genere di attività illegale via web impiegata per sottrarre dati e soldi ad una persona ignara. La mente della truffa online viene chiamato scammer anche se in italiano, preferiamo definirlo con i termini di hacker o criminale informatico.

Il fenomeno scam si presenta sotto varie forme e può interessare diversi tipi di tecnologie e tecniche di attacco informatico.

Abbiamo parlato di evoluzione delle truffe online e di crescita esponenziale delle campagne di truffa via web.

Ebbene, in questo contesto arrivano quelli che in gergo tecnico si chiamano scam website o siti web scam. Le truffe web infatti sono gradualmente migrate dalle e-mail ai siti web truffaldini.

Nella fattispecie, i siti web scam sono progettati esattamente come un’e-commerce o come il sito web di una prestigiosa azienda che attirano a sé le vittime con: colori, messaggi e promozioni fake accattivanti. In questo caso, l’utente, sugli scam website è egli stesso a buttarsi tra le braccia del malintenzionato.

Se volete alcuni consigli per riconoscere chiaramente un sito scam eccone alcuni:

1. Controllate che l’URL del sito web: se la pagina riprende il logo e il nome di marchi conosciuti assicuratevi che si tratti del sito web ufficiale
2. Assicuratevi che si tratti di siti web con protocollo https e non soltanto http (se c’è vedi un simbolo di avviso nella barra degli indirizzi e le parole “Non protetto” significa che c’è un problema con la sicurezza)
3. Leggi attentamente il contenuto e fai attenzione alla presenza di errori di grammatica e nell’utilizzo dell’italiano
4. Ricerca il proprietario del dominio: esistono dei siti web preposti a questa azione
5. Verifica la presenza di recensioni sui siti web: usa google per reperire le informazioni del sito web.

Da definizione, lo scammer è un criminale che inganna le su vittime usando metodi illegali (e-mail, messaggi sms, chiamate, annunci pubblicitari, pagine web, ecc…).

Gli scammer sono gli hacker che producono truffe scam. Possono operare in completa autonomia oppure essere raggruppati in vere e proprie organizzazioni criminali.

Esistono 10 elementi da tener presente se si vuole identificare la presenza di uno scammer:

1. Numero di telefono estero, sconosciuto o privato
2. Se qualcuno vi chiama, ma quando rispondete dall’altro capo del telefono nessuno risponde: è una truffa
3. La persona che vi scrive dice di non potervi parlare direttamente
4. Il messaggio vi dice che c’è un problema con uno dei vostri account o che qualcuno ha fatto accesso al vostro account
5. Il tono del messaggio o della chiamata è insistente (o vi mette ansia)
6. Chiedono che ti identifichi (magari compilando un form con i tuoi dati e le tue credenziali)
7. Il saluto all’inizio del messaggio è generico
8. Se il messaggio contiene una richiesta di denaro
9. Se il messaggio contiene premesse allarmanti (hai pagato una bolletta due volte oppure qualcuno ti ha appena rubato 3000€)
10. Il messaggio in questione contiene errori grammaticali o di sintassi

Considerato che l’obiettivo di uno scammer è quello di riuscire a farsi consegnare dalla vittima quante più informazioni o dati sensibili riterrà opportuno, l’inizio e lo svolgimento di una truffa online sono i seguenti:

• Gli scammer (o se preferite, hacker) iniziano il processo di adescamento delle proprie vittime: questa fase può avvenire in maniera massiva nel caso nelle truffe generiche ma anche rivolgendosi direttamente alla vittima nel caso delle truffe scam specifiche. I mezzi per contattare la vittima sono molteplici: e-mail, sms, chat, profili social o come abbiamo visto, siti scam.

• Facendo leva sullo stato emotivo (social engineering) della vittima, sulla notorietà del brand sfruttato, su promozioni e testi acchiappa clic la convincono a fornire tutti i dati di cui necessitano: attraverso i siti di scam o attraverso email false, con lettere di accompagnamento, ecc.

Come potete immaginate esistono diverse tipologie di scam e alcune sono da considerarsi molti più letali e diffuse di altre. Il numero di queste truffe online cresce con un unico limite: la fantasia degli scammer.

Proviamo quindi a presentarvi le minacce scam più rilevanti qui:

Romance Scams o Love Scam

In italiano la definiremmo la truffa dell’amore, ma di sentimentale non ha proprio niente. In questo caso, gli scammer (o hacker che ideano la truffa) creano dei profili fake sui social network di incontri allo scopo di fingersi un vostro pretendente e trarvi nella sua trappola. Lo scammer contatta direttamente le sue vittime tramite chat (molto spesso si tratta di chat bot ovvero, robot che scrivono in chat con messaggi creati ad hoc) e se la vittima abbocca gli viene estorto del denaro o addirittura l’accesso diretto al conto bancario.
La probabilità di essere coinvolti in questo genere di truffe riguarda perlopiù anziani e giovanissimi ai primi approcci con il web.

Finance Scam

Forse il genere di truffa scam più diffusa. Notoriamente, lo scammer che mette in piedi questo genere di truffe online si assicura di inviare alla vittima un messaggio o un’email e comunicandovi che siete i fortunati vincitori di una somma di denaro o i diretti interessati per un’eredità miliardaria. Lo scammer vi chiede soltanto un piccolo pagamento per le commissioni relative alla vincita: ovviamente dopo che avrete pagato la somma all’hacker non riceverete nulla in cambio. I dati bancari forniti dallo scammer sono riferiti a conti esteri o portafogli di bitcoin per i quali non è possibile risalire agli intestatari.

Truffa online per raccolte benefiche

In periodo di pandemia, le truffe online che fanno leva sugli scopi benefici sono aumentate a livelli impressionanti: la leva su cui si basavano gli hacker era il senso di smarrimento delle persone nonché la necessità di aiutarsi l’un l’altro. A questo proposito venivano create delle campagne ad hoc (pagine web, pop-up, campagne phishing) marchiate con i brand di associazioni a favore di progetti benefici: ricerca Covid, vaccini, startup mediche provenienti dall’OMS, ecc.

Lo scopo dello scammer era sempre il medesimo: la raccolta di denaro o di dati.

Scam a scopo estorsivo (Sextortion)

Il fenomeno del sextortion o scam a scopo estorsivo nasce qualche anno fa e alcuni di voi lo avranno sicuramente ritrovato anche nelle proprie caselle di posta elettronica. Lo scammer invia un’email al malcapitato comunicandogli di essere in possesso di materiale compromettente che lo riguarda (foto, video e immagini) minacciandolo di pubblicare e inviare a famigliari, amici e conoscenti tutto il materiale incriminato a meno che la vittima non paghi una somma di denaro. Si tratta di una truffa poiché l’hacker non possiede alcun materiale sulla vittima, è un vero bluff.

La minaccia scam purtroppo è una condizione di rischio che permane in tutte le aziende d’Italia e la cosa più preoccupante è che questo genere di minacce, colpiscono anche gli utenti privati. Le truffe via e-mail o le minacce scam online arriveranno di continuo nelle vostre caselle di posta fino al punto in cui non deciderete di intervenire con una soluzione cyber security.

Tra le soluzioni che consigliamo sempre di implementare anti scam ci sono:

• assicurarsi che il personale interno di un’azienda (anche se in smart working) sia messo al corrente delle caratteristiche delle truffe online in modo che possano riconoscerle e sviarle;
• sensibilizzare il personale a non condividere sui social network informazioni professionali e aziendali;
• introdurre soluzioni di protezione della navigazione, affinché l’accesso ai siti web scan venga impedito agli utenti dell’organizzazione;

Spesso ci sentiamo chiedere dalle persone: sono stato truffato via e-mail, che cosa faccio?

Considerata la cospicua mole di e-mail truffa in arrivo ogni giorno sulla nostra casella di posta, a qualcuno sarà sicuramente capitato di aver ceduto alle lusinghe di uno scammer per poi finire con l’aver comunicato i vostri dati, magari compilando un form contatti.

Ebbene, se l’utente è sufficientemente attento da essersi accorto di essere stato truffato: meglio tardi che mai.
Molto spesso ci capita di dover spiegare noi stessi agli utenti che in una determinata occasione sono stati vittima di una truffa web e che, anche a distanza di tempo, non se ne sono mai resi conto.

Ma torniamo a noi, se vi accorgete di essere capitati su un sito web scam e avete condiviso in un form i vostri dati, convinti che fosse una fonte sicura purtroppo c’è molto poco da fare.

Potete avvisare la vostra banca bloccando ogni genere di bonifico o prelievo di denaro e possibilmente cambiate le credenziali di accesso.
In secondo luogo, potete valutare l’ipotesi di una denuncia alla polizia postale che tuttavia non ha grandi speranze di risalire all’identità dello scammer.

Ciò che noi consigliamo come futura prevenzione anti scam, è indubbiamente un’adeguata protezione web e e-mail

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni. Ci occupiamo di fornire servizi cyber security per le aziende dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.