La grande truffa dei messaggi che mira al tuo portafoglio

Tutto inizia con qualcosa di familiare: un breve messaggio, un nome di fiducia, un tono amichevole. Aggiornamenti sulle consegne, comunicazioni di lavoro, notifiche in sottofondo che attirando raramente l’attenzione. Si controlla, si risponde, si va avanti — finché, pochi minuti dopo, si cade in una trappola costruita per abbassare la guardia e compromettere la fiducia.

Ecco perché le truffe via messaggio colpiscono nel profondo: sfruttano le abitudini quotidiane in cui è l’istinto, e non la cautela, a guidare le azioni. Un tempo la comunicazione procedeva lentamente, lasciando spazio al dubbio. Ora è istantanea — e quella velocità è un’arma nelle mani dei criminali.

Nel nostro blog abbiamo già analizzato numerose truffe perpetrate tramite le app di messaggistica: dal “pig butchering“, in cui la vittima viene adescata per un periodo molto lungo, al “catfishing“, in cui il truffatore crea un’identità falsa, fino al phishing tramite chatbot o campagne di regali nelle app di messaggistica.

Ora, per la prima volta, Kaspersky ha deciso di documentare la realtà completa delle truffe basate via messaggio per capire quanto velocemente si verifichi il danno, come queste influenzino la fiducia e cosa accade dopo. Ciò che emerge è un ecosistema di truffe altamente organizzato e industrializzato, integrato nei canali di messaggistica quotidiani come SMS, WhatsApp ed e-mail.

Gli esperti di Kaspersky hanno redatto un report sulle truffe nelle app di messaggistica, descrivendo in dettaglio non solo il danno finanziario ma anche quello emotivo causato da tali attacchi, oltre a fornire consigli su come proteggersi ed evitarli. In questo post esploreremo i fatti più interessanti, mentre potrete trovare maggiori dettagli nel report completo.

Il danno è sottovalutato

Quanto pensate che costi alla vittima un singolo attacco perpetrato via messaggio? Dieci euro? O forse… cinquanta? State sottovalutando i truffatori. Sebbene più di un terzo (36%) delle vittime subisca perdite inferiori a 115 euro (135 dollari), in media una vittima perde ben… 630 euro (733 dollari)! In Italia si raggiungono i 770€.

Da un lato, il danno finanziario non sembra catastrofico se considerato come caso isolato. Si tratta di micro-perdite per definizione. Abbastanza piccole da non essere mai denunciate alla polizia. Abbastanza piccole da non essere sempre oggetto di indagini da parte delle banche. Abbastanza piccole da essere liquidate come sfortuna piuttosto che come crimine organizzato.

Ma 630 euro non sono pochi. Sono sufficienti a coprire le spese mensili, le rette scolastiche o dell’asilo, oppure le bollette. Sullo sfondo della crisi globale del costo della vita, una singola perdita di questo tipo può compromettere seriamente il bilancio familiare.

Nell’11% dei casi, le perdite superano i 1.160 euro (1.350 dollari) e più di un quarto delle vittime (28%) riferisce di essere stato truffato tre o più volte negli ultimi sei mesi. Una volta che i truffatori scoprono che un numero di telefono risponde, quel contatto diventa una risorsa, che circola da un database all’altro.

Ora immaginate la portata del problema: se solo il 10% dei tre miliardi di utenti di app di messaggistica in tutto il mondo venisse colpito da questa truffa, il danno totale ammonterebbe a quasi 170 miliardi di euro! Si tratta di una cifra paragonabile al PIL della Grecia e superiore al PIL del Marocco, della Serbia o della Costa d’Avorio.

È chiaro che dietro la valanga quotidiana di schemi fraudolenti si nascondono grandi cartelli di truffatori che operano su scala industriale, utilizzando l’intelligenza artificiale per personalizzare messaggi che imitano quelli di familiari, amici e marchi noti. Questo, in sostanza, costituisce la base di un’economia a tutti gli effetti costruita sul furto di identità digitale.

La velocità batte l’attenzione

Più della metà delle truffe via messaggio che vanno a buon fine (52%) avviene in meno di 30 minuti — dal primo contatto al momento in cui il denaro o i dati personali vengono rubati — o anche più velocemente, prima che la vittima inizi a dubitare della legittimità del mittente. Infatti, una truffa su sette richiede meno di cinque minuti — più veloce che far bollire un uovo!

La velocità non è casuale. È il metodo. Ogni elemento è studiato per ridurre al minimo il tempo a disposizione per prendere una decisione: l’urgenza di dover far qualcosa per evitare conseguenze, la familiarità del nome del mittente, la plausibilità della richiesta.

Ti mettono fretta: più veloce, più veloce, non dirlo a nessuno, hai solo pochi minuti, risolvi il problema, non fare domande. Clicca sul link, inserisci i dati, approva la transazione, altrimenti… Altrimenti cosa? La fantasia dei truffatori non conosce limiti, ma se non agisci subito, te ne pentirai sicuramente.

Purtroppo, la consapevolezza di ciò che è successo arriva di solito quando il danno è già stato fatto. Più della metà delle vittime (51%) perde denaro; un altro 43% consegna i propri dati personali — più comunemente numeri di telefono, nomi e indirizzi e-mail — ai truffatori, e spesso la vittima perde entrambi.

Dove e come avvengono gli attacchi

Una notifica di mancata consegna, un avviso dalla banca, un messaggio da un negozio da cui hai ordinato la settimana scorsa: le app di messaggistica permeano ogni aspetto della vita quotidiana, rendendo tali interazioni del tutto normali. Un attacco non dovrebbe sembrare un attacco. Dovrebbe sembrare lo stesso messaggio che hai ricevuto centinaia di volte.

Non sorprende che i truffatori concentrino la loro attenzione innanzitutto su questo metodo di comunicazione. Le piattaforme più popolari per le truffe sono prevedibili: WhatsApp (43%), SMS/iMessage (40%), Facebook (27%), Telegram (22%) e Instagram (19%) — queste sono quelle di cui le persone si fidano di più.

Viene utilizzata un’ampia varietà di schemi. L’usurpazione di identità dei marchi è ora uno dei tre tipi più comuni di truffa via messaggio a livello mondiale, con il 31% dei casi. Le false notifiche di consegna sono in cima alla lista con il 38%, seguite dalle truffe finanziarie con il 37%. Queste tipologie che prendono di mira esattamente i luoghi in cui le persone acquistano, effettuano operazioni bancarie e ripongono la loro fiducia.

Allo stesso tempo, quasi due terzi (63%) degli schemi fraudolenti si estendono su più piattaforme, passando dagli SMS a WhatsApp, da WhatsApp a Telegram, ecc. In questo modo, i truffatori raggiungono due obiettivi: imitano la messaggistica organica ed eludono gli algoritmi di moderazione.

L’intelligenza artificiale ha portato le truffe a un nuovo livello

Solo un paio di anni fa, i messaggi fraudolenti si tradivano con una grammatica scorretta, frasi goffe, richieste illogiche e un senso ossessivo di urgenza. Oggi, un messaggio di phishing sembra, suona e si legge come vero.

I truffatori vogliono cogliere le persone in movimento — tra una riunione e l’altra, durante il tragitto casa-lavoro o mentre svolgono le loro attività quotidiane — quando la loro attenzione è bassa. Imitano il modo di esprimersi di tua madre. Riproducono il tono di voce della tua banca. Copiano esattamente il formato dei messaggi del tuo corriere. Rispecchiano il ritmo, la struttura e lo stile delle comunicazioni autentiche dei marchi su tutte le piattaforme di messaggistica. E l’IA sta accelerando tutto questo.

Ciò che ne deriva è una sovrapposizione. Messaggi legittimi e fraudolenti appaiono nello stesso ambiente, usano gli stessi formati, lo stesso linguaggio e gli stessi meccanismi di innesco. La differenza tra loro non è più evidente.

I dati mostrano che due terzi delle vittime (66%) ritengono che l’IA sia stata utilizzata nella truffa ai loro danni, il 42% cita messaggi scritti dall’IA, il 31% segnala voci generate artificialmente o clonate e il 25% si è imbattuto in immagini o video deepfake.

Ecco perché la semplice consapevolezza e la “competenza tecnologica” potrebbero non essere più sufficienti per proteggersi. Dalla Generazione Z alla Generazione X, le truffe tramite messaggi coinvolgono tutti.

E che dire del costo emotivo?

Il denaro è ben lungi dall’essere l’unico problema con cui una vittima si ritrova dopo un attacco. Dopo ciò che hanno passato, le persone sviluppano sfiducia nei confronti dei messaggi in arrivo, dei numeri sconosciuti e di qualsiasi richiesta di azione. Di conseguenza, il 99% delle vittime di frodi afferma di non fidarsi più delle notifiche in arrivo nelle app di messaggistica.

Questo crea una crisi di fiducia in tutti i canali digitali in generale. Ogni messaggio legittimo può ora essere percepito come una truffa. I brand, le banche e i servizi di consegna sono costretti ad operare in un contesto in cui il cliente si trova, di default, in uno stato di sfiducia.

La dottoressa Elizabeth Carter, linguista forense e criminologa presso la Kingston University di Londra, osserva come i truffatori utilizzino contesti familiari, situazioni sociali comuni e norme linguistiche consolidate per creare nella vittima l’illusione che le sue decisioni siano razionali e ragionevoli in quel momento. In realtà, ciò li porta a costruire false realtà in cui tali decisioni finiscono per causare danni finanziari e psicologici. La dottoressa sottolinea inoltre che è molto difficile riconoscere una falsa realtà mentre ci si trova al suo interno.

Dopo aver capito di essere state ingannate, più della metà delle vittime ha provato rabbia — quel tipo di rabbia che deriva dall’aver riposto fiducia in qualcosa e aver scoperto che è stata usata contro di te. Il 42% delle vittime riferisce di provare frustrazione, il 38% riferisce di sentirsi turbato. Inoltre, diversi mesi dopo, questi sentimenti non sono scomparsi: quasi la metà di tutte le vittime (48%) è ancora arrabbiata, un terzo (33%) rimane frustrato e il 30% è turbato.

E quasi una vittima su dieci non racconta a nessuno ciò che è successo. Prova vergogna, la sensazione di essersi lasciata sfuggire qualcosa di così ovvio. Questo fa sì che una parte significativa del danno effettivo non venga segnalata: solo il 24% delle vittime contatta la polizia e solo il 23% lo segnala alla propria banca.

Cosa si può fare allora?

La crisi di fiducia — e persino un pizzico di paranoia — che è sorta a causa dei diffusi attacchi agli utenti può persistere a lungo nella mente delle vittime, influenzando la loro qualità di vita. Per evitare ciò, segui queste linee guida:

• Fermati un attimo prima di agire. Fai un respiro profondo prima di agire. La sensazione di urgenza che provi è quasi sempre creata artificialmente. Una banca, un rivenditore o un servizio di consegna affidabili non ti biasimeranno se ti prendi trenta secondi per verificare qualcosa prima di cliccare su un link o confermare i dettagli. È proprio su questo istinto di risolvere rapidamente la situazione che fanno affidamento i truffatori.
• Verifica tramite un altro canale. Se un messaggio sembra provenire da un parente, un collega o un’azienda di cui ti fidi, contattali tramite un altro canale prima di intraprendere qualsiasi azione. Utilizza metodi di verifica sicuri e accertati dell’identità quando qualcosa non ti convince. Per le famiglie, concordare in anticipo una “parola d’ordine” può sventare anche i cloni vocali più convincenti.
• Utilizza un gestore di password. Non solo ti aiuterà a generare password complesse e uniche per tutti i tuoi account e a memorizzarle in modo sicuro, sincronizzandole su tutti i tuoi dispositivi, ma ti proteggerà anche dai siti contraffatti. Anche se clicchi su un link di phishing e finisci su un sito malevolo, il nostro gestore di password ti avviserà della discrepanza del dominio e si rifiuterà di compilare automaticamente il tuo nome utente e la tua password.
• Utilizza una protezione che agisce in tempo reale. Le moderne soluzioni di sicurezza, come Kaspersky Premium, offrono protezione in tempo reale contro i link dannosi e i tentativi di phishing nelle app e nei siti web che utilizzi quotidianamente. Sui dispositivi Android, un livello dedicato di protezione anti-phishing analizza e neutralizza i link sospetti non appena compaiono, anche all’interno delle notifiche, prima ancora che tu abbia la possibilità di cliccarci sopra.