In Svezia, attualmente, ci stiamo trovando di fronte ad un serio problema, causato dall'attività malevola svolta da truffatori senza scrupoli che, mascherati in veste di comuni utenti di tali siti, sembrano voler apparentemente effettuare l'acquisto di prodotti e articoli messi in vendita su alcuni siti web di compravendita tra privati. In realtà, quando poi si avviano i contatti con il potenziale acquirente il "gioco" inizia a diventare pericoloso, in quanto si possono perdere cospicue somme di denaro. Nulla di nuovo - qualcuno dirà - visto che la maggior parte dei suddetti siti web ha già provveduto ad informare i propri utenti riguardo a ciò: all'interno di tali siti, tuttavia, non vengono fornite spiegazioni dettagliate sulle effettive modalità di funzionamento di simili truffe; nelle FAQ, in genere, si consiglia esclusivamente agli utenti di prestare sempre la massima attenzione. Vi sono, pertanto, numerosi interrogativi ai quali gli utenti, non poco preoccupati ed allarmati, non riescono a trovare un'adeguata risposta.

Poiché uno dei malintenzionati in questione ha cercato di raggirare anche mia moglie, ho deciso di seguire le varie fasi del tentativo di truffa messo in atto e, al tempo stesso, di documentare l'intero processo, in maniera tale da poter poi informare non solo le forze dell'ordine, ma anche i lettori, riguardo allo schema truffaldino adottato nella circostanza dai malfattori. In effetti, se si conosce bene il modo in cui funziona uno scam del genere, sarà di sicuro molto più facile poter riconoscere, e quindi evitare, il tentativo di truffa perpetrato.

Fornirò, qui di seguito, un quadro completo della vicenda, corredato di tutte le informazioni progressivamente raccolte.

Nostra figlia ha ricevuto in dono una bicicletta nuova, per cui abbiamo deciso di mettere in vendita la sua vecchia bici su Blocket, il maggiore sito svedese per annunci personali di compravendita.

Alcuni giorni dopo mia moglie ha ricevuto un SMS (che è stato purtroppo eliminato). L'SMS proveniva da un numero polacco; il mittente, inoltre, scriveva in un ottimo inglese. Nel messaggio si manifestava interesse nei confronti della bici, ma si richiedevano ulteriori informazioni; veniva tra l'altro fornito un indirizzo e-mail di contatto. Ho detto a mia moglie di NON rispondere via SMS, ma di inviare piuttosto, a tale persona, un'e-mail, visto che talvolta i malintenzionati inoltrano SMS da numeri premium; ciò significa, in pratica, che rispondendo al messaggio ricevuto, il costo da sostenere sarà di molto superiore rispetto a quello di un normale SMS.

Le ho poi ugualmente detto di fornire una risposta molto concisa, come si può vedere nell'e-mail iniziale di risposta, qui sotto riportata:

L'interlocutore ha poi iniziato a rivolgere domande molto precise e pertinenti riguardo alla bici posta in vendita; questo significava, inequivocabilmente, che non si trattava in alcun modo di un bot, bensì di una persona in carne ed ossa, che aveva risposto "manualmente" all'annuncio. Non ho idea di come vengano selezionate le vittime di tali truffe, ma si tratta, ovviamente, di un processo manuale.

Abbiamo deciso di procedere oltre, per vedere quali sarebbero stati i passi successivi compiuti dallo scammer; abbiamo così risposto fornendo informazioni sulla bici di nostra figlia; chissà, poteva ancora trattarsi, in quel preciso momento, di un effettivo acquirente, e non di un imbroglione.

Di fatto, è stato proprio dopo l'invio di tale e-mail che il "gioco" ha iniziato a farsi pericoloso. La persona ha accettato la nostra offerta, ma la cosa davvero strana è che l'interlocutore ha subito confermato la sua identità polacca. Persino controllando l'identità di tale individuo sui social media,  tutto sembrava risultare verosimile. Abbiamo quindi deciso di continuare.

La persona in questione ha poi richiesto il nostro nominativo, le credenziali PayPal ed il prezzo totale dell'articolo messo in vendita; da parte nostra, abbiamo ovviamente provveduto ad inoltrare quanto specificato. Il potenziale "acquirente" ha poi affermato che avrebbe coperto le spese di spedizione della bici e che, tra l'altro, aveva già provveduto a contattare uno spedizioniere.

Dopo aver condiviso le informazioni richieste, abbiamo atteso la relativa risposta dell'individuo. Quest'ultimo si dimostrava sempre MOLTO rapido nel rispondere a tutte le e-mail; sembrava quasi che si trattasse di un gruppo di persone provviste di accesso allo stesso account e-mail, ma non siamo stati tuttavia in grado di poter confermare tale elemento. Nell'e-mail da essi inviata prima di effettuare il trasferimento della somma di denaro prevista, questi si erano persino premurati di indicare un indirizzo in Polonia. L'indirizzo in questione non è stato poi confermato, ma stiamo cercando di individuare chi, effettivamente, abiti a quell'indirizzo, che si può vedere nello screenshot qui di seguito inserito. Nel giro di pochi minuti, i nostri "amici" hanno poi affermato di aver già completato il trasferimento, come testimonia il secondo screenshot.

In effetti, successivamente ho ricevuto due e-mail che sembravano provenire, a prima vista, da PayPal; da un esame più attento si può tuttavia dedurre che le e-mail in causa non erano state affatto inviate da PayPal. Si tratta di un trucco piuttosto abile, anche se molto comune, utilizzato anche nella conduzione degli attacchi di phishing.  Quando si analizza l'e-mail, difatti, si vede subito che la stessa è stata inviata attraverso l'indirizzo di posta elettronica service@e-pay-team.com, ospitato su Google Mail.  L'elemento di particolare interesse, in questo messaggio e-mail, è che anch'esso, probabilmente, è stato creato manualmente, visto che contiene dettagli specifici, quali il prezzo da noi richiesto per la bicicletta.

A questo punto, tuttavia, nessuna somma di denaro era stata ancora trasferita sul mio account PayPal; le due e-mail erano semplicemente fasulle. I truffatori, in seguito, hanno cercato di indurmi a trasferire l'importo relativo alle spese di spedizione - pari, nella circostanza, a 1.700 SEK (corone svedesi), circa 200 dollari USA - dal nostro account alla società “P.S.S Logistics”. Il processo da essi escogitato per il trasferimento del denaro in favore della suddetta società di spedizioni prevedeva la visita di un ufficio di Western Union; se si esaminano però con attenzione le e-mail inviate dagli scammer, appare subito evidente che il beneficiario del trasferimento sarebbe stato, in realtà, un semplice privato. Esiste, di fatto, una società denominata “P.S.S Logistics”, ma la stessa risulta essere registrata in Sudafrica; i truffatori hanno comunque iniziato ad utilizzare questo nome, anche se l'eventuale somma di denaro trasferita sarebbe invece andata a finire nelle mani di un certo “Bamise Seon”, abitante in Nigeria.

Ci siamo chiesti, a questo punto, se i truffatori stessero magari utilizzando degli account hackerati, visto che tutti e quanti gli individui sopra citati comparivano nelle pagine di vari social network. Ad esempio, la persona che compone le e-mail utilizzando il nome polacco “Pawel Dylewski” può essere tranquillamente trovata su Google Plus. L'individuo residente in Nigeria, da parte sua, può essere reperito su Facebook. Se guardate con attenzione gli screenshot da me catturati su Facebook, potete rilevare la presenza di due diverse identità, una femminile ed una maschile, aventi però lo stesso nome, e collegate tra di loro. Nello screenshot qui sotto riportato compare la scritta: “Send HER a friend request”, la quale indica che tale profilo appartiene ad una donna. Si può inoltre vedere che questa donna ha, come unico amico, una persona con il suo stesso nome, anche se, nella circostanza, la foto che appare è quella di un uomo. Vi sono poi ulteriori informazioni.

Sto attualmente collaborando con PayPal, Western Union, Google e le forze dell'ordine, per condividere tutte le informazioni e i dati che ho progressivamente raccolto; desidero, ad ogni caso, portare ugualmente a conoscenza degli utenti la singolare "storia" sopra descritta. Ritengo in effetti di particolare utilità informare adeguatamente tutti coloro che abitualmente vendono/acquistano prodotti e articoli online, affinché possano poi verificare attentamente, ogni volta, tutti i dettagli sopra citati. Se un affare sembra troppo bello per essere vero, nella maggior parte dei casi...è proprio così!

Lo schema in breve

• Ricevete un SMS da un potenziale acquirente, contenente un indirizzo e-mail per ulteriori contatti.
• Si tratta, in alcuni casi, di un SMS inviato da numero premium, per cui, quando rispondete, vi sarà addebitato il costo del servizio premium.
• Una volta avviata la corrispondenza e-mail, l'acquirente dichiarerà di voler pagare tramite un servizio di pagamento online, ad esempio PayPal, proponendovi un pagamento completo, spese di spedizione incluse.
• Vi saranno poi inviate delle e-mail FASULLE, in apparenza provenienti da PayPal, in cui si afferma che l'importo è già stato trasferito sul vostro account. La cifra pattuita, tuttavia, non verrà accreditata sul vostro account finché l'affare non si sarà concluso.
• L'affare in corso potrà essere perfezionato solo quando avrete trasferito la somma relativa alle spese di spedizione ad una società di logistica - tramite Western Union, ad esempio.
• La società di spedizioni, in realtà, non esiste; si tratta, piuttosto, dell'account personale dello scammer; questo significa, in pratica, che i truffatori vogliono che voi trasferiate una certa somma di denaro frugandovi direttamente in tasca, con la speranza di ricevere poi, sul vostro account PayPal, l'importo completo dovuto dal falso "acquirente".

Alcuni consigli utili di cui tenere conto quando comunicate in Internet con persone sconosciute:

• Non utilizzate gli SMS per comunicare, visto che i truffatori potrebbero utilizzare costosi numeri premium, per addebitarvi poi cifre a dir poco salate.
• Verificate con grande attenzione ogni indirizzo e-mail; nel caso qui esaminato, ad esempio, le e-mail provenivano non da “paypal.com”, ma da “e-pay-team.com”.
• Non trasferite somme di denaro a nessuno; PRIMA di spedire l'articolo che state vendendo, accertatevi di aver già ricevuto il pagamento pattuito.
• Non pagate mai con carta di credito, a meno che non siate sicuri al 100% che il sito web sia del tutto legittimo; cercate di utilizzare metodi di pagamento sicuri, quali PayPal.

PS: Abbiamo venduto la bicicletta proprio oggi. Ad una persona REALEJ