Con la Festa della Donna, il CSIRT Italia (Computer Security Incident Response Team dell’Agenzia per la Cybersicurezza Nazionale) ha segnalato una nuova truffa. Tale campagna phishing è arrivata su WhatsApp e sfrutta la ricorrenza per attirare l’attenzione degli utenti. L’obiettivo è convincerli a compiere determinate azioni che li portano a consegnare informazioni sensibili ai truffatori. Il messaggio arrivato sull’app di messaggistica si presenta come una promozione. Quest’ultima promette un premio o un’offerta esclusiva. Il testo invita a cliccare su un link per partecipare all’iniziativa. Il prodotto indicato come “vincita” è spesso uno styler per capelli o un oggetto simile. A una prima lettura il messaggio può sembrare innocuo, quasi come le tante campagne promozionali che circolano online. In realtà si tratta solo dell’inizio della truffa.
Dettagli sulla truffa circolata su WhatsApp per la festa delle donne
Una volta aperto il link, l’utente viene reindirizzato a una pagina web che simula una specie di concorso o promozione. Qui compare un invito a condividere l’iniziativa con altri contatti su WhatsApp. Il sito presenta anche una barra di avanzamento che dovrebbe indicare il completamento di tale “missione”. Per procedere bisogna far salire la percentuale fino al 100%. In altre parole, la pagina non consente di andare avanti finché il link non viene inoltrato a numerose altre persone.
Tale passaggio è fondamentale per i criminali informatici perché permette alla truffa di diffondersi rapidamente su WhatsApp. In tal modo, le vittime, senza rendersene conto, diventano il mezzo attraverso cui il messaggio continua a circolare tra amici, familiari e colleghi. Il fatto che il link arrivi da un contatto conosciuto aumenta, inoltre, la probabilità che chi lo riceve si fidi e decida di aprirlo.
Dopo aver completato la fase di condivisione su WhatsApp, la pagina mostra un modulo da compilare per ottenere il presunto premio. In tale fase viene richiesto di inserire alcuni dati personali e, soprattutto, le informazioni relative al pagamento. La richiesta economica è minima, circa 1,95 euro, e viene presentata come una semplice spesa di spedizione o di gestione. Proprio l’importo ridotto contribuisce a rendere la richiesta apparentemente innocua. Inserendo i dati della carta di credito, però, si rischia di consegnarli direttamente ai truffatori, che possono poi utilizzarli per operazioni fraudolente. In casi come questi, la raccomandazione è sempre la stessa: ignorare messaggi simile e non aprire mai i link.
