Come è facile farsi rubare dati e soldi online
(Articolo di CAROLA FREDIANI, da lastampa.it)
Piccole e medie imprese italiane a cui sono stati rubati centinaia di migliaia di euro con un cambio di Iban; donne avvicinate online da finti corteggiatori con lo scopo di sottrarre loro informazioni e denaro; utenti che mettono in vendita un articolo e sono contattati da potenziali acquirenti che però accampano problemi per spillare loro dati e soldi. Abbiamo approfondito i meccanismi di alcune delle truffe online più sofisticate che stanno colpendo negli ultimi mesi gli italiani. Perché è lontano il tempo in cui la truffa alla nigeriana (Nigerian scam o 419 scam) era una mail improbabile e ridicola, inviata a caso, che viveva solo grazie alla legge dei grandi numeri. Oggi le frodi via internet sono diventate più complesse e insidiose, anche tecnicamente. A volte anche mirate. E dietro ci sono gruppi che operano a livello transnazionale.
EMAIL E IBAN: AZIENDE NEL MIRINO
«Non ho dormito per due mesi», mi dice Angela. Dal giorno in cui uno dei fornitori dell’azienda in cui lavora ha chiamato in ufficio, lamentandosi di non avere ancora ricevuto il pagamento che gli spettava. Eppure, certo che lo avevano pagato, e per tempo. Ma il fatto è che avevano mandato il bonifico sul conto di un truffatore, e non su quello del loro fornitore. Quel che è peggio, non si era trattato di un solo bonifico. Ce ne erano stati vari, che dovevano essere diretti sui conti di altri creditori. E che invece sono finiti in tasca a una banda criminale. In questo modo, tra il 2014 e il 2015, a un’azienda del Nord-Italia di piccole-medie dimensioni sono stati trafugati circa 600mila euro. Con fatica, come vedremo, ne hanno recuperati 138mila. Ma i restanti 450mila sono andati persi del tutto, spariti nel nulla. Ed è tutto partito da una mail.
«In pratica abbiamo perso l’utile del lavoro di un anno a causa di questa truffa. Ed io ne sono stata il veicolo inconsapevole. È stato molto traumatico», racconta Angela, il cui nome è di fantasia, perché ha chiesto l’anonimato per sé e per l’azienda. Ma vuole che si sappia che queste cose possono succedere. Anche perché lei non era preparata. «Non sapevo esistessero episodi di questo tipo, nessuno, a partire dalle associazioni di settore, ci aveva mai allertato al riguardo».
Ma cosa è successo all’azienda di Angela? Gli americani la chiamano truffa della compromissione della email aziendale o BEC (Business Email Compromise). Funziona così: i dipendenti di un’azienda ricevono una mail fraudolenta, che finge di essere stata inviata da persone o enti di cui si fidano, e che invece è mandata dai truffatori; nella mail c’è un link o un allegato; seguendo il primo o aprendo il secondo il destinatario viene infettato. Questa è la prima fase, un attacco detto di phishing, in cui si cerca di ingannare un utente con email fasulle per infettarlo o rubargli delle credenziali. A quel punto inizia la fase due. I truffatori hanno accesso al pc e/o alla mail del dipendente. Iniziano a spiarne le comunicazioni interne ed esterne; individuano i responsabili commerciali, i creditori e debitori. Si fanno un quadro della situazione e quindi arrivano alla fase tre. Simulano, con una finta email, di essere un fornitore dell’azienda cui deve essere fatto un pagamento; e spiegano che per qualche motivo hanno cambiato Iban. Il nuovo codice in realtà corrisponde a un conto aperto su una banca estera da un membro dell’organizzazione criminale.
Sembra un piano arzigogolato? Non se hai davanti un’azienda che magari lavora nell’import-export, con tanti fornitori in altri Paesi, bonifici frequenti e consueti cambi di conto. Non se si considera che, prese dalla routine e da mille incombenze, le persone non stanno sempre in allerta. «Era un momento di stress, c’erano clienti da noi quasi tutti i giorni e il mio livello di attenzione si era abbassato», racconta Angela. Così, nel corso di alcuni mesi, sono partiti dieci bonifici a tre loro diversi fornitori esteri, di cui uno in Giappone. «C’era sempre una giustificazione plausibile per il cambio di Iban». Inoltre i truffatori sono stati abili. «Ci hanno studiato attraverso la nostra posta così come hanno analizzato il rapporto coi nostri fornitori e i pagamenti che gli dovevamo».
Nell’azienda di Angela lavorano venti persone, per 10 milioni di euro di fatturato: un ammanco di 600mila euro è piuttosto consistente. Quando alla fine hanno realizzato che quei pagamenti erano andati nelle mani sbagliate, hanno ovviamente provato a recuperarli contattando le banche in questione. E qui si sono trovati davanti a un muro di gomma. «Nel migliore dei casi, con una banca inglese, ci hanno dato indietro quanto era rimasto. Ma per il resto non ti dicono neanche a chi sono intestati quei conti».
«La situazione è ancora più complicata quando si ha a che fare con banche in Paesi dell’Est», racconta l’avvocato Giuseppe Vaciago che ha avuto più di un cliente finito in questo genere di truffe e si è trovato a condurre estenuanti trattative con istituti esteri, malgrado avesse in mano le denunce. «Lì non solo non recuperi niente, ma a volte avvisano perfino il titolare del conto, cioè il truffatore».
La risposta delle banche in genere è che sei tu che hai sbagliato l’Iban. E pazienza se il codice non corrispondeva al nome del beneficiario del bonifico. Per le banche, sulla base della normativa europea, conta solo l’Iban. «In realtà potrebbero usare dei meccanismi per cui se un nome non combacia con l’Iban l’utente riceve almeno un alert online», aggiunge Vaciago. Sta di fatto che, una volta partiti, i soldi spariscono in fretta e non tornano quasi mai indietro.
Ma cosa sappiamo dei truffatori dell’azienda di Angela? L’esperto di informatica forense Paolo Dal Checco ha provato a “inseguirli”. Il malware originario con cui si sono probabilmente introdotti nei pc dell’azienda di Angela non è stato rinvenuto; ma Dal Checco ha rintracciato l’origine delle mail con cui i truffatori si fingevano i fornitori. E queste rimandavano a indirizzi IP di Dakar, Senegal.
Ma se a essere compromesso era il pc di Angela, come facevano invece i truffatori a simulare in modo credibile le mail dei fornitori? «Possono farlo in due modi: ci sono servizi online, anche gratuiti, che ti permettono di copiare l’indirizzo mail di qualcuno, in modo che il messaggio di posta ricevuto sembri arrivare proprio da un contatto del ricevente (spoofing, in gergo, ndr)», spiega Dal Checco. Per cui nella posta vedremo una mail proveniente da Mario Rossi e dal suo indirizzo mariorossi@lastampa.it anche se ce la sta spedendo un’altra persona da un diverso dominio (il più delle volte già verificare se ci sono discrepanze fra l’indirizzo visualizzato nella mail e quello che appare quando si risponde può aiutare).
«In alternativa i truffatori comprano dei domini simili a quelli dell’azienda che vogliono impersonare, in cui la differenza sta magari solo in una lettera, contando sulla disattenzione del destinatario». Ovvero aprono un dominio tipo www.lastampa-it.com e da lì mandano mail mariorossi@lastampa-it.com, contando anche sul fatto che alcuni client di posta non ti fanno vedere subito l’indirizzo effettivo del mittente ma solo il suo nome (che è deciso dallo stesso mittente).
La pratica è così diffusa che a Dal Checco è capitato spesso di individuare in anticipo tentativi di truffa nei confronti di una qualche azienda semplicemente monitorando l’apertura di nuovi domini “simili” a quelli di note imprese.
Quanta è diffusa questo tipo di truffa? Difficile avere dei numeri specifici al riguardo, ma almeno ci sono delle inchieste italiane che hanno aperto una finestra sul fenomeno. Si è partiti prima con un blitz della Guardia di Finanza di Torino, nell’aprile 2015, operazione battezzata Nigerian Drops: 20 indagati e una decina di arresti tra Piemonte, Veneto, Lombardia, Campania. In pratica gli investigatori avevano individuato in Italia, e in particolare a Torino, la coda di un’organizzazione criminale, con una forte componente nigeriana, specializzata in truffe online, a partire da quelle ai danni di aziende, avvenute proprio attraverso la compromissione delle email e il dirottamento dei pagamenti. Il riciclaggio dei soldi, prelevati alla chetichella da una rete di muli, avveniva nel nostro Paese.
Successivamente, nel giugno 2015, si è arrivati a un secondo blitz internazionale e italiano (noto come operazione Triangle) con 62 ordinanze di custodia cautelare eseguite in vari Paesi, di cui 29 emesse dalla Procura di Perugia, poiché proprio nel capoluogo umbro era stato individuato un conto corrente su cui approdava una parte dei soldi truffati. Secondo gli inquirenti, a finire vittima del gruppo sono state almeno una cinquantina di aziende (di cui 7 italiane) sparse in tutto il mondo: 800 i bonifici truffa individuati, circa 5-6 milioni di euro la stima dei danni economici provocati dall’organizzazione nella sua attività che risalirebbe al 2012. Tre dei cybercriminali ai vertici del gruppo sono stati poi arrestati in Nigeria nel novembre 2015. I reati contestati? Accesso abusivo a sistemi informatici, sostituzione di persona, truffa aggravata e ricettazione.
«È un tipo di truffa particolarmente pericolosa per la quantità di soldi che possono essere sottratti, può mettere in ginocchio una piccola azienda», commenta alla Stampa il direttore della Polizia postale Roberto Di Legami. «Sono a rischio soprattutto le aziende che hanno molti rapporti con l’estero».
Ma come fanno i soldi a sparire così facilmente? Non si riesce in qualche modo a seguirli? «In genere non abbiamo a che fare con organizzazioni piramidali ma con gruppi composti da cellule separate», prosegue Di Legami. «La parte più importante, il riciclaggio dei soldi, avviene attraverso reti di muli», prestanomi, a volte anche poveracci ingaggiati con lo scopo di incassare i soldi. «Soldi che sono parcellizzati e fatti sparire facendoli girare su carte di credito clonate, carte prepagate, acquisti, anche conti di gioco. Aprono magari un conto gioco su siti di scommesse online, con documenti falsi, oppure senza molta documentazione se il conto è autorizzato solo a inviare soldi e non a incassare. A quel punto li girano su altri conti da cui invece monetizzano». Se poi le piste portano all’estero si entra in un terreno minato. «Ci vogliono rogatorie che presuppongono accordi di cooperazione fra due Paesi».
Servono dunque molta prevenzione e condivisione di informazioni, prima che i buoi scappino dalla stalla. Prova a farlo OF2CEN (Online Fraud Cyber Center and Expert Network), un progetto della Postale che, attraverso partner come l’Associazione bancaria italiana (ABI), diffonde liste di Iban da bloccare perché sospettati di truffe.
E serve consapevolezza fra le aziende. «Ci sono stati casi in cui i truffatori che simulavano di essere il fornitore di un’azienda sono arrivati al punto di telefonare all’impresa che tentavano di ingannare», racconta Dal Checco. Come ha documentato anche il giornalista investigativo Brian Krebs, esistono call center specializzati in servizi di appoggio per cybercriminali, in diverse lingue. Molti di questi sono impiegati nel giro delle truffe a sfondo sessuale, ma non solo.
LA TRUFFA ROMANTICA ARRIVA DA FACEBOOK
Simona è una donna di 47 anni, di bell’aspetto, con un lavoro in un gruppo media, a Milano. Qualche mese fa un nuovo contatto le ha chiesto l’amicizia su Facebook. Si chiamava Henry L. Cognome francese, aspetto da attore d’Oltralpe, e foto che lo ritraggono come il padre amorevole di una bambina. Attacca bottone con Simona in chat, prima le scrive in spagnolo dicendo che cercava persone con cui esercitarsi in quella lingua. Già, perché lui è francese, nato in Corsica, e ora residente nel Nord della Francia, a Metz. Ma ha anche un appartamento a Parigi e un’impresa in Costa d’Avorio, dove vive suo padre. Insomma, inizia a tempestare Simona di messaggi e di toccanti storie della sua vita, una sorta di Cent’anni di solitudine sottoposto a bombardamento sintattico-grammaticale, dato che nel mentre è passato a scriverle in un italiano zoppicante, con l’aiuto dichiarato di Google Translate. Lui è un padre single, l’ex moglie è mancata nel 2013, il suo primo figlio morto alla nascita. Sono rimasti lui e la seconda figlia, con cui è costantemente ritratto nelle foto che inizia a inviare a Simona (sollecitandone a sua volta da lei). Poi gli accenni alla vita professionale, prima il lavoro in uno stabilimento di olio di palma in Africa, fino all’attuale situazione da imprenditore facoltoso.
«Tra un raccontarci una storia e l’altra, si innesca così un chiaro tentativo di seduzione in rete», racconta Simona alla Stampa. Henry le fa capire di essersi innamorato di lei, di voler venire in Italia, sposarla e riportarla in Francia. «Ovviamente mi faceva credere di esser molto ricco e che per qualsiasi cosa era disposto a pensare a me in tutto e per tutto perché era sua intenzione costruire insieme una famiglia felice». Simona è incredula per la maggior parte del tempo, ma anche un po’ confusa. Quello che depista di fronte a truffatori di questo tipo è constatare la quantità di energie e tempo dedicati alle potenziali vittime. Le truffe online di solito sono più una pesca nel mucchio, rapida e di massa. Qui c’è qualcuno che comunque sta dedicando risorse a corteggiare una donna, con molteplici messaggi, foto e informazioni.
«Ho iniziato a capire qualcosa in più nel momento in cui mi ha chiesto che gli inviassi la mia mail personale con tanto di password , così come l’accesso al mio profilo Facebook. La sua motivazione era che dovevamo iniziare ad avere fiducia reciproca. Ovviamente non gli ho dato nessuna password. Ma il giorno dopo è tornato alla carica e, dopo avermi ammonito con fiori, cuoricini e smile, mi ha mandato la copia del suo documento d’identità e della carta di credito dicendomi che lui si fidava di me, che quella ne era la dimostrazione, e che io dovevo fare lo stesso. Ma quando ho visto i documenti, palesemente ritoccati con Photoshop (per altro con Photoshop ci lavoro) ho avuto conferma definitiva che fosse proprio un truffatore».
La frode online a sfondo sentimentale era una delle attività praticate anche dal gruppo smascherato dalla prima inchiesta italiana di cui abbiamo parlato, che aveva come epicentro Torino. In quel caso era stato proprio il profilo di un finto latin lover italiano, Teddy Paolo, che adescava americane sui social media, a portare gli investigatori all’ombra della Mole. La parabola in genere si articola così: approccio a una potenziale vittima, corteggiamento anche prolungato nel tempo, consolidamento della fiducia, e richiesta di denaro (o di accesso alla carta di credito) con le più svariate scuse. “Divorziato e con un figlio, dopo pochi giorni era già innamorato e voleva conoscermi per costruire una famiglia nuova”, commentava nel gennaio 2016 sul sito Vignaclarablog una donna italiana di nome Patrizia. L’identikit è un po’ sempre lo stesso insomma. “Venditore di auto, in viaggio in Costa d’Avorio per un’eredità…Un parente morto là”. Poi la carta di credito non funziona più e la richiesta di mandargli 250 euro tramite Moneygram.
Lo scorso dicembre è emerso che una donna britannica ha perso più di 1 milione di sterline, nel corso di dieci mesi, a causa di una truffa di questo tipo. I criminali però sono stati individuati, erano due nigeriani di 31 e 43 anni. Uno di questi fingeva di essere proprio un padre single, e di avere bisogno di soldi, che dovevano essere solo un prestito, per completare un progetto ingegneristico in Africa.
Secondo l’ispettore Gary Miles, della polizia metropolitana di Londra, in un anno le vittime britanniche di questo tipo specifico di frode avrebbero perso 4 milioni di sterline, ma è una stima molto conservativa perché sono poche quelle che denunciano. “In alcuni casi i sospettati parlavano con le donne prese di mira per ore ogni giorno, in chat online o al telefono”, ha dichiarato Miles.
Rispetto ad altre frodi più di massa, la internet romance scam interessa un numero più basso di vittime, ma quando va a segno fa molto male, psicologicamente e finanziariamente.
Non che gli uomini siano immuni da questo tipo di truffe. Solo che sono presi di mira più attraverso estorsioni a sfondo sessuale, conseguenti a videochat a luci rosse. Una giovane attraente abborda un uomo sui social, gli chiede di passare poi su Skype, l’approccio degenera velocemente, il video viene registrato all’insaputa della vittima. E poi si chiedono soldi per non diffonderlo. «Un fenomeno che sta crescendo, e che sembra avere legami con gruppi in Costa d’Avorio», commenta Di Legami.
IL BONIFICO DELLA COSTA D’AVORIO
Già, la Costa d’Avorio. L’ultimo capitolo di questa inchiesta approda ad Abidjan. Nella lunga scalinata delle truffe online, i gradini più bassi sono ricoperti da quelle che colpiscono l’ecommerce. Qui si torna un po’ alla legge dei grandi numeri di cui si diceva prima. Ma sebbene certi fenomeni siano diffusi da anni, non sembrano essere affatto in declino, arricchendosi sempre di nuovi risvolti. Uno di questi è la truffa del bonifico dalla Costa d’Avorio. Sebbene esista da tempo, ha avuto una recrudescenza a fine 2015, forse in concomitanza col periodo natalizio, come si può vedere dalla quantità di commenti di utenti italiani lasciati negli ultimi mesi sui blog e i siti che trattano l’argomento. Funziona così: un utente mette in vendita qualcosa di costoso su siti come Subito.it o simili(Subito.it sembra essere particolarmente bersagliato); un potenziale acquirente, che dice di trovarsi in Costa d’Avorio, lo contatta dicendosi pronto a comprarlo tramite bonifico bancario; chiede quindi i dati del compratore e il suo Iban e anche il telefono. Arriva però un intoppo: in genere è una comunicazione di una presunta banca ivoriana con i dati del conto dell’acquirente e i dati dell’utente italiano, dove si dice che la transazione è bloccata per le norme antiriciclaggio e alcune irregolarità. E che per sbloccarla occorre pagare una imposta commerciale (importo variabile, intorno ai 100 euro) da anticipare via Western Union o Moneygram che poi verrà restituita dallo stesso compratore nel bonifico bancario.
Astruso? Impossibile da credere? No, a giudicare dai tanti commenti di italiani che ancora nel 2016 finiscono truffati. Perché ovviamente quel bonifico non arriverà mai. E i soldi inviati saranno inghiottiti nel nulla. Inoltre, anche se la maggioranza delle persone si ferma prima di mandare i soldi, molti inviano comunque i propri dati bancari e personali. Che saranno poi utilizzati dai truffatori per simulare identità finte in altre truffe con altre persone in un circolo vizioso in cui non si butta via nulla.
Da almeno due anni ad esempio imperversa online un profilo digitale dal nome Sabrina Boyer, associato a diversi indirizzi email. Il nome è costantemente segnalato dai commenti degli utenti italiani, che sono stati contattati da questa fittizia signora francese, in viaggio in Africa, per comprare qualcosa che avevano messo in vendita, per poi ricadere in uno schema simile (ci sono molte varianti) a quello appena descritto.
Con il dettaglio che in alcuni casi, per convincere le vittime, arrivavano anche delle telefonate.
La Stampa ha scritto a uno di questi indirizzi email e ha potuto verificare con un semplice stratagemma che l’indirizzo IP del mittente sta effettivamente a Abidjan, capitale economica della Costa D’Avorio, dove negli anni si è sviluppata una industria sui generis, evidentemente.
Ci sono anche formule un po’ più avanzate rispetto a quella di base. Una l’ha sperimentata, ormai un po’ di tempo fa, Ilaria Cuzzolin, mamma e blogger.
Mette in vendita un tablet, si accorda con un compratore che sta in Costa d’Avorio e aspetta la comunicazione da PayPal della avvenuta transazione, dell’invio di soldi. Ne riceve però una finta, inviata dai truffatori, in cui le si dice che i soldi sono già stati sottratti al conto del compratore, ma che saranno accreditati non appena lei fornirà il numero di spedizione dell’articolo, una ulteriore procedura di garanzia antifrode diciamo. A quel punto Ilaria va alle Poste e spedisce il tablet. Che per fortuna viene intercettato dall’ufficio di Malpensa, dove qualcuno fiuta la truffa, al punto da telefonarle.
«Hanno capito che qualcosa non andava perché nella bolla di accompagnamento c’era scritto tablet; quando hanno letto tablet e Costa d’Avorio hanno fatto due più due e mi hanno chiamata (il cellulare era sulla bolla) chiedendomi se avessi già effettivamente i soldi dell’acquirente sul mio conto. In caso contrario, si doveva trattare al 99 per cento di una truffa», ci racconta Cozzolin. «All’epoca ce n’erano moltissime di quel tipo sui prodotti tecnologici. Ora vedo che puntano anche a oggetti di poco valore, da 100 euro».
In quanto alla vecchissima e più tipica truffa alla Nigeriana, la scam 419 – quella fatta da mail dove i nipoti di qualche ricco politico africano in difficoltà chiedevano di poter usare il conto del destinatario per spostare ingenti quantità di soldi, in cambio di una percentuale sugli stessi – è stata aggiornata sull’attualità. Le mail – come segnala anche un alert della società di cybersicurezza Kaspersky – ora impersonano uomini d’affari siriani o donne in fuga che vogliono reinvestire all’estero i loro soldi messi a rischio dalla guerra. (fonte)
