C’è truffa per te

Brushing, quishing e altri schemi di frode che hanno inizio con la consegna tramite corriere di un prodotto mai ordinato.

Ti è mai capitato di ricevere una notifica di consegna o di trovare un pacco davanti alla porta di casa, anche se non hai mai ordinato niente? I regali fanno sempre piacere, ma in questo caso dovresti restare all’erta: potrebbe trattarsi di una delle tante truffe che iniziano con il recapito a domicilio di un pacco.

La prima cosa da fare è chiedere ad amici e familiari se ti hanno spedito qualcosa senza prima avvisarti, ma se la risposta è negativa, è molto probabile che tu sia vittima di uno degli schemi di truffa che vedremo di seguito.

Spoiler: non eseguire MAI la scansione dei codici QR e non chiamare il numero di telefono riportato sul pacco, in nessuna circostanza.

“Spazzolatura” degli ordini

Il termine brushing deriva dallo slang dell’e-commerce cinese. 刷单 significa letteralmente “spazzolare gli ordini” e di fatto si riferisce a una tecnica fraudolenta che punta ad aumentare le vendite. All’inizio, il brushing era una strategia relativamente innocua: una persona riceveva un prodotto che non aveva mai ordinato e il venditore pubblicava una recensione entusiastica, a nome del destinatario, per incrementare il proprio posizionamento in termini di vendite. Per raggiungere questo scopo, le aziende più spregiudicate acquistavano database divulgati di dati personali e registravano nuovi account sul proprio marketplace usando i nomi e gli indirizzi di spedizione delle vittime, impostando però i propri indirizzi e-mail e metodi di pagamento. I destinatari interessati non subivano quindi una perdita economica diretta.

Per fortuna, ma… e le recensioni?

Con il passare del tempo, questa “spazzolatura” relativamente non aggressiva si è evoluta in una “pesca a strascico” indiscriminata. Adesso i truffatori attirano le vittime su un sito Web dannoso per sottrarre i dati dei destinatari del pacco, includendo nella consegna un biglietto o un adesivo con un codice QR. A questo codice è associato un messaggio che può variare, ma in genere è simile ai seguenti:

  • “Hai ricevuto un regalo! Esegui la scansione del codice per scoprire chi l’ha inviato”
  • “Lascia una recensione del nostro prodotto e ricevi una carta regalo da 100 dollari!”
  • “Conferma la ricezione dell’articolo consegnato gratuitamente!”

Se la vittima esegue la scansione del codice QR per capire chi è il mittente o per riscuotere un altro premio, tutto quello che ne consegue rispecchia il modello classico di una truffa di quishing (ossia, phishing QR): l’utente viene convinto a inserire i propri dati di pagamento, ad esempio per “attivare” la carta regalo, o i codici delle app bancarie e governative, oppure viene incoraggiato a installare un’app per procedere alla “conferma” o all'”attivazione”, app che ovviamente è un malware.

E se il prodotto non esiste affatto?

Gli schemi sopra descritti funzionano solo se un negozio online può permettersi di erogare dei “regali” come tattica promozionale. Ma i truffatori possono comunque acquisire i dati degli utenti anche se non inviano prodotti? Eccome se possono. E lo fanno.

Al posto di un pacco, la vittima trova nella cassetta della posta un avviso stampato in modo professionale con un messaggio del genere: “Impossibile effettuare il recapito per irreperibilità del destinatario. Il buono regalo del valore di 200 dollari può essere consegnato solo di persona. Contattaci per pianificare di nuovo la consegna”. L’avviso include un codice QR, l’indirizzo di un sito Web e a volte anche un numero di telefono per “riprogrammare” appunto la consegna.

Esempio di phishing: avviso con l'indirizzo di un sito Web e un codice QR

Un avviso fraudolento che pare provenire da Royal Mail e contiene un codice QR e l’indirizzo di un sito Web sembra molto convincente: i truffatori sono estremamente attenti ai dettagli. Fonte

Se chiama il numero indicato o visita il sito Web associato al link del QR code, l’utente viene indotto a fornire i dati di pagamento, le password o i codici monouso. Vediamo alcuni dei casi più diffusi di truffe legate alle consegne:

  • “Scegli subito un orario di consegna, altrimenti l’articolo verrà restituito al mittente.”
  • “Per la riconsegna devi pagare una commissione di 2 dollari.” L’obiettivo è ottenere i dati di pagamento dell’utente in modo da addebitare importi molto più ingenti.
  • “Pagamento necessario del dazio doganale.” Alla vittima viene detto che le è stato inviato un pacco di un certo valore e che deve pagare personalmente il dazio doganale, che può ammontare a una cifra considerevole, a seconda del presunto valore dell’articolo. In alcuni paesi, un “corriere” può perfino presentarsi alla porta di casa per riscuotere il dazio in contanti.

Tutte queste tecniche possono comportare la perdita di dati personali e informazioni finanziarie, ma a volte si possono trasformare in truffe telefoniche con conseguenze molto più gravi. Ad esempio, dopo aver pagato il dazio per una consegna fraudolenta, l’utente riceve una chiamata dai truffatori che lo informano che il pacco non può essere consegnato perché contiene stupefacenti. Quindi fanno leva sulla pressione psicologica, sostenendo che la vittima sarà contattata da un “agente di polizia”, e tentano di estorcere grandi somme di denaro per “proteggere” il malcapitato da una denuncia penale.

Pagamento in contrassegno

Un’altra truffa molto comune riguarda il pagamento di prodotti in contrassegno. I malintenzionati a volte pubblicizzano un prodotto in anticipo e lo inviano alla vittima dopo averne ottenuto il consenso, ma in altri casi il pacco arriva di punto in bianco. Un giorno un corriere bussa alla porta con una consegna per il destinatario. In genere sulla confezione è riportato in bella vista il nome di un prodotto interessante, ad esempio uno smartphone di fascia alta. Ma… c’è un prezzo da pagare, che in genere è due o tre volte inferiore a quello di mercato. I truffatori fanno leva sull’avidità e sul senso di urgenza (“il corriere ha fretta, fai presto!”) in modo che la vittima effettui il pagamento senza controllare l’articolo con attenzione. Il corriere se ne va via subito e quando il destinatario apre il pacco, si trova di fronte a un prodotto contraffatto scadente o a una vera e propria robaccia.

Se la vittima si rifiuta di pagare l’articolo misterioso, i truffatori hanno già pronto un “piano B”: la convincono a fornire un codice di verifica monouso relativo a un marketplace o a un istituto bancario, con il pretesto di “confermare la cancellazione dell’ordine”.

Attacchi mirati

A volte la consegna fraudolenta di prodotti fisici prende di mira vittime specifiche. Ad esempio, alcuni criminali hanno tentato di sottrarre crittovalute inviando pacchi ai titolari di portafogli hardware Ledger e affermando che si trattava di un prodotto gratuito, protetto da garanzia, a sostituzione di un dispositivo difettoso. All’interno del pacco era incluso un “nuovo” portafoglio di criptovaluta, sotto forma di una chiavetta USB sulla quale era caricato un malware per la sottrazione della seedphrase del portafoglio. Anche il gruppo ransomware FIN7 ha fatto ricorso all’invio di chiavette USB nell’ambito di un attacco ransomware mirato contro specifiche organizzazioni.

La minaccia nascosta

Alla radice delle truffe di brushing e quishing c’è una circostanza spiacevole. Se si ricevono questi pacchetti, significa che l’indirizzo e altre informazioni di contatto personali dell’utente sono presenti in database divulgati e circolano in forum underground. Questi set di dati vengono venduti ripetutamente, quindi i soggetti interessati possono essere vittime anche di altri tipi di truffe. L’importante è essere preparati: abilitare ovunque l’autenticazione a due fattori, prevedere di ricevere chiamate fraudolente, controllare l’estratto conto bancario con una certa frequenza e installare un software di protezione affidabile su tutti i dispositivi.

Cosa fare se si riceve inaspettatamente un pacco?

  • Esamina attentamente la confezione, le etichette e i documenti di accompagnamento.
  • Scatta una foto del pacco per precauzione, ma non accedere a link presenti su un testo stampato o collegati a un codice QR. Conserva la confezione in caso vengano poi condotte delle indagini.
  • Non chiamare mai i numeri di telefono e, come già detto, non visitare i link stampati sul pacco.
  • Non pagare mai "spese di consegna" o "dazi doganali" e non fornire mai i dati di pagamento.
  • Non collegare mai al tuo computer o smartphone i dispositivi di archiviazione digitale ricevuti inaspettatamente.
  • Se il pacco è stato consegnato da un servizio di corriere molto noto e famoso (Amazon, eBay, DHL Express, UPS, FedEx, AliExpress, servizi postali nazionali e così via), è consigliabile accedere al sito Web ufficiale dell'azienda, individuare i dati per contattarla, accedere al servizio di tracciamento online o usare la chat dal vivo e controllare lo stato della spedizione e le informazioni del mittente. Se alla consegna è associato un codice di tracciamento, inseriscilo manualmente. Non eseguire mai la scansione del codice QR presente sull'etichetta.
  • Segnala il pacco sospetto al servizio di corriere e alle forze dell'ordine, anche se non ti è stato sottratto del denaro.

Ulteriori informazioni sulle truffe legate ai codici QR, ai marketplace e ai servizi di consegna a domicilio:

Consigli
  • Tutti gli altri paesi