Nelle notizie si sente spesso parlare di fughe di dati di ogni tipo; di recente, si parla anche di multe, alcune potenzialmente miliardarie, inflitte alle aziende responsabili dei dati dei propri clienti. Se le aziende devono pagare per le fughe di dati, sicuramente una parte di quel denaro va alle vittime, giusto?
Sorpresa dalla US Trading Commission
Di recente, un sito ha attirato la nostra attenzione. Apparentemente di proprietà di un certo Personal Data Protection Fund (Fondo per la protezione dei dati personali), la pagina principale del sito afferma che il fondo è stato creato dalla “US Trading Commission”.
A un primo sguardo, il sito sembra ragionevolmente affidabile, dal layout sobrio che mostra sulla destra dei grossi numeri interessanti. Un gran banner in cima alla pagina annuncia che il fondo assegna un risarcimento per le fughe di dati personali, risarcimento che tutti i cittadini, di qualsiasi paese del mondo, possono richiedere.
Per chi fosse interessato, il sito offre la possibilità di verificare se i propri dati personali sono filtrati in qualche occasione. A tal fine, è necessario indicare nome, cognome, numero di telefono e account sui social network. In cima al formulario c’è un avviso in cui si ricorda che l’inserimento dei dati di altre persone è un grave delitto.
Tuttavia, si scopre che il sito (che sembra combattere la fuga di dati personali) accetti qualsiasi informazione, anche se senza senso. Ad esempio, abbiamo cercato i dati personali di un cittadino di nome fghfgh fghfgh. Il sito ci ha pensato un po’, come se si stesse collegando a un database di informazioni sulle fughe di dati…
…ed ecco, si scopre che il nostro personaggio fittizio dal nome impronunciabile è stato davvero vittima di una fuga di dati. Inoltre, sembra che qualcuno abbia già usato le sue foto, video e informazioni di contatto e che quindi fghfgh ha diritto a un risarcimento di oltre 2.500 dollari!
Acquisto di un SSN temporaneo
Si potrebbe pensare che sia sufficiente dare un numero di carta di credito e attendere l’accredito del pagamento. Non esattamente. Il fondo di beneficenza non può inviare denaro senza sapere il vostro SSN, un numero di previdenza sociale a nove cifre rilasciato ai cittadini statunitensi e ai residenti per lavoro in maniera permanente o temporanea.
Negli Stati Uniti, questo numero unico serve praticamente per tutto, da pagare le tasse a fare richiesta per un lavoro, passando per affittare una casa e così via.
Se non ne avete uno, non temete: potete semplicemente spuntare la casella accanto alla riga “I’am don’t have SSN” (la grammatica inglese non sembra essere il punto forte dei truffatori).
Per ovviare al problema di non avere un SSN, il sito propone la vendita di uno temporaneo! In confronto all’importo del risarcimento in seguito alla fuga di dati personali, il prezzo di nove dollari è una sciocchezza.
Se si prova ad andare avanti senza acquistare un SSN, il sito risponderà con un errore e richiederà di digitare un numero temporaneo. E se per caso vi capita di inserire un numero valido nel modulo fraudolento, vi verrà comunque richiesto di acquistarne uno temporaneo.
Chi decide di acquistare un SSN temporaneo viene reindirizzato a un modulo di pagamento. Se vi capita di farlo da un indirizzo IP russo, questo modulo di pagamento appare in russo, e il prezzo di acquisto è indicato in rubli. È molto strano, perché un’agenzia governativa statunitense dovrebbe richiedere il pagamento in una valuta estera?
È probabile che i residenti di altri paesi vengano reindirizzati a un modulo in lingua inglese, meno sospetto e che richiede il pagamento in dollari.
Gli scammer russi stanno diventando internazionali?
Naturalmente, si tratta di una truffa online. Il Personal Data Protection Fund non esiste, e non esiste nemmeno la US Trading Commission, come avrete intuito. Il nome della vera organizzazione che i cybercriminali apparentemente stanno cercando di impersonare è la Federal Trade Commission, ma la FTC non concede di certo risarcimenti per fughe di dati senza cognizione di causa.
È probabile che i truffatori parlino russo, come suggerisce il modulo di pagamento in rubli, oltre alla sospetta somiglianza della dinamica di questa truffa online con altre offerte di denaro facile che tentano regolarmente i residenti in Russia e nella CSI.
La cyber-esca in queste tattiche può variare: omaggi, sondaggi, risparmi segreti per la pensione, persino un lavoro part-time come centralinista di radio taxi. Il tutto di solito in russo (come alcuni dei precedenti link), e la linea di fondo è sempre la stessa, ovvero la promessa di un bel po’ di soldi facili, seguita dalla richiesta di pagamento per un servizio poco costoso, che si tratti di una commissione, di un pagamento “sicuro” o di un SSN temporaneo.
Lo tattica attuale di questa truffa online utilizza gli stessi sistemi di pagamento dei precedenti. Anche questo lascia pensare che ci siano dietro dei cybercriminali russi. L’unica differenza con la truffa dei risarcimenti è la geografia dell’attacco, in questo caso più ampia. Stavolta ad esempio, le vittime sono state localizzate non solo in Russia e nei Paesi vicini, ma anche in Algeria, Egitto, Emirati Arabi Uniti e altri.
Come non abboccare a questa truffa online
Truffe online di questo tipo sono rivolte a probabili vittime che non pensano sia sospetta un’offerta del genere. Per questo, il nostro consiglio principale è sempre quello di tenere gli occhi ben aperti:
- Non fidatevi: se qualcuno vi promette un’importante somma di denaro a cambio di operazioni di poca importanza come partecipare a un sondaggio, quasi sicuramente è una truffa. E se vi viene chiesto di pagare una certa cifra per ottenere questa ricompensa maggiore, potete essere certi che ci sia qualcosa che non va;
- Verificate: cercate su Google l’ente o l’azienda in questione per vedere se esiste e, in caso positivo, analizzate bene il suo sito. Prestate attenzione al linguaggio utilizzato: un’organizzazione con una certa reputazione non pubblica un testo pieno di errori di ortografia;
- Utilizzate fonti affidabili: se siete preoccupati della sicurezza dei vostri dati (password in particolare), su haveibeenpwned.com potete verificare se sono stati coinvolti in una fuga di informazioni. Creata dall’esperto di sicurezza informatica Troy Hunt, è la risorsa di ricerca di fughe di dati più aggiornata;
- Proteggetevi adeguatamente: avvaletevi di una soluzione antivirus affidabile che vi protegga dal phishing e dalle truffe online, come Kaspersky Internet Security.