Come vendere online senza rimetterci soldi e dati sensibili

Le bacheche online sono da tempo un paradiso per truffatori, soprattutto quelli che presentano offerte su articoli di tendenza troppo belle per essere vere. Un televisore nuovo di zecca a metà prezzo? Uno scooter come nuovo con il 70% di sconto? Uno smartphone ancora nella confezione e con scontrino al 40% del prezzo in negozio? Truffe, tutte quante.

Non è niente di complicato: il venditore-truffatore chiede all’acquirente-vittima di pagare il prodotto tramite un apposito link. L’ignaro acquirente-vittima fa clic sul collegamento, “paga” l’oggetto e perde i propri soldi. Questo diffuso trucco è noto come truffa 1.0 o “truffa dell’acquirente” e poiché la maggior parte degli acquirenti online ne è già a conoscenza, è praticamente vintage.

Un altro schema fraudolento è la “truffa del venditore” o truffa 2.0, in cui i truffatori si fingono acquirenti per ingannare i venditori. Analizziamo lo schema e vediamo come acquistare e vendere in modo sicuro nelle bacheche online.

Come funziona la “truffa del venditore”

La differenza fondamentale tra questo schema e quello classico è che il truffatore finge di essere un acquirente, non un venditore. I truffatori contattano i venditori con un’offerta per l’acquisto del prodotto… a una condizione: la transazione deve essere effettuata con un “pagamento sicuro” su un sito “sicuro” che funge da garante. L’acquirente-truffatore afferma di aver già depositato la somma dovuta nel sistema e il venditore-vittima deve solo fare clic su un link (ovviamente di phishing), inserire i dettagli della sua carta bancaria e selezionare “Ricevi denaro”. E voilà! I dettagli della carta bancaria vengono rubati, il conto corrente viene svuotato e l’articolo rimane lì dov’è.

Vista per la prima volta in Russia, questa truffa si è diffusa rapidamente in tutto il mondo. Finora ne abbiamo trovate prove in Austria, Canada, Francia, Norvegia e Svizzera. Consigliamo quindi di armarsi di una protezione affidabile prima che i truffatori prendano di mira il tuo Paese.

La scelta della vittima

Molto spesso i truffatori prendono di mira inserzioni di vendita attraverso pubblicità a pagamento. Viene preso come un segnale che il venditore dispone di un bel portafoglio gonfio ed è spinto a chiudere rapidamente la vendita, il che lo rende meno propenso a esaminare la legittimità di un potenziale acquirente. Questo senso di urgenza fa il gioco del truffatore.

Le pubblicità a pagamento sulle bacheche online sono usate anche dalle aziende, ma sono facili da identificare grazie alle foto di qualità e alle descrizioni dettagliate. Pertanto, i truffatori prendono di mira solo i privati, che spesso usano foto più semplici, hanno meno recensioni e scrivono descrizioni che chiaramente non sono il prodotto di professionisti del marketing.

Infine, i truffatori cercano venditori disposti a divulgare il proprio numero telefonico e a comunicare su messenger esterni. Per sapere se il venditore è disposto a farlo, il truffatore deve avviare le comunicazioni.

Verso la trappola

Dopo aver scelto la potenziale vittima, i truffatori seguono un copione abbastanza semplice: salutano il venditore, fanno alcune domande (“Perché lo vendi? In che condizioni è l’oggetto?”) e procedono immediatamente a concludere l’affare. Il truffatore dice di essere soddisfatto dell’oggetto, ma non può ritirarlo di persona: dovrà essere consegnato dopo avere provveduto a un “pagamento sicuro”. Quindi descrivono in dettaglio alla vittima lo schema di pagamento:

1. Pago il tuo articolo;
2. Ottieni un link per ricevere il denaro;
3. Segui il link e inserisci il tuo numero di conto per ottenere i soldi;
4. Verrai contattato dal servizio di elaborazione degli ordini, che imballerà l’articolo e me lo spedirà.

Se il venditore rifiuta tale metodo di pagamento o insiste per continuare a comunicare sul canale ufficiale del marketplace, il truffatore semplicemente scompare. Non ha senso perdere tempo a cercare di convincere il venditore, che molto probabilmente è uno dei nostri lettori e si tiene aggiornato sulle tipiche tattiche fraudolente.

Tuttavia, se abbocca, la vittima segue il link di phishing e immette i dettagli di pagamento e i truffatori prosciugheranno immediatamente il suo conto bancario.

Come riconoscere il phishing

Nello schema truffa 2.0, vengono usati in particolare due tipi di pagine di phishing. Il primo tipo replica quasi perfettamente la pagina delle inserzioni del marketplace, tranne che per una piccola differenza. Esempio diretto: questa pagina di phishing sembra uguale all’originale ma, invece del pulsante Inserent kontaktieren (“Contatta il venditore”), il pulsante del truffatore dice Ricevi 150 CHF (franchi svizzeri).

L’inserzione originale di un monitor (a sinistra) e la pagina di phishing con il pulsante truffa su un sito falso (a destra)

Facendo clic sul link il venditore vede la propria inserzione su quello che ritiene essere il sito del legittimo marketplace (sebbene a uno sguardo attento l’indirizzo del sito Web sia diverso dall’originale). Fa clic sul pulsante “Ricevi denaro” e viene indirizzato a un’altra pagina di phishing con un modulo per inserire i dettagli della carta bancaria.

Nel secondo tipo di phishing, i truffatori non si preoccupano di replicare l’inserzione della vittima, che viene reindirizzata direttamente a una copia falsa di un servizio di pagamento sicuro come Twin.

Pagine di phishing per l’esecuzione di un “pagamento sicuro”

Come si può vedere da questi screenshot, la potenziale vittima deve inserire non solo il numero della carta bancaria, ma anche il codice CVC, il nome del titolare, la data di scadenza, l’indirizzo e-mail e il numero di telefono personale. Nel primo caso viene persino chiesto di rivelare il saldo del conto bancario. Con tutti questi dati, i truffatori possono rubare senza sforzo fino all’ultimo centesimo nell’account.

Questo tipo di truffa è stato industrializzato: sono coinvolti interi gruppi di criminali informatici che hanno sviluppato strumenti specializzati per ingannare nel modo più efficace possibile sia gli acquirenti che i venditori. Puoi leggere di più sul funzionamento interno di questa attività illegale nella nostra indagine.

Come fare commercio in sicurezza sulle bacheche online

Per evitare di cadere vittima di truffatori durante la vendita o l’acquisto di oggetti sui vari marketplace, segui queste regole:

• Non comunicare su messenger di terze parti; usa solo la chat integrata nella piattaforma. I truffatori spesso cercano di spostare la conversazione su WhatsApp o Telegram il prima possibile per aggirare le misure di sicurezza integrate nella maggior parte dei marketplace che bloccano la condivisione dei link. Non sanno che Kaspersky Premiumimpedisce agli utenti di seguire i link di phishing in vari servizi e messenger.
• Fidati solo delle risorse di pagamento ufficiali. Esamina attentamente l’indirizzo del sito Web e la pagina stessa prima di immettere i dettagli della carta bancaria per evitare di diventare una vittima di phishing. Se noti errori di battitura nel dominio o nella pagina, fai attenzione e controlla la data di registrazione del dominio. Se il sito è online solo da una settimana, è molto probabile che sia falso.
• Usa una carta bancaria virtuale con un limite prefissato. Se stai vendendo un oggetto, non dovrebbero esserci fondi sulla carta, quindi non ci sarà nulla su cui i truffatori possano mettere le mani. Quando acquisti un articolo, evita i pagamenti anticipati e paga solo al momento della ricezione e dell’ispezione dell’articolo.
• Fai attenzione alle consegne. Molte bacheche online non offrono opzioni integrate per la spedizione di merci in altre città, quindi i truffatori potrebbero provare a trarne vantaggio, esortandoti a inviare l’articolo tramite il loro “servizio attendibile”.
• Vendi localmente o in contrassegno. Le transazioni più sicure avvengono offline. Se non trovi acquirenti locali, usa i servizi postali oppure opzioni che offrano il pagamento in contrassegno. Ciò garantirà all’acquirente di pagare l’oggetto solo nel momento in cui lo potrà ritirare.