Il Singles Day di Alibaba ha segnato l’inizio della stagione di shopping più lunga dell’anno che parte a novembre con Thanksgiving, Black Friday e Cyber Monday e arriva fino a Natale. Ma lo shopping online espone i consumatori a grandi rischi.
Gli hacker aspettano con impazienza di approfittare di acquirenti frettolosi e poco accorti, freneticamente alla ricerca di buoni affari. Tentano di rubare le loro informazioni finanziarie in qualsiasi modo possibile, e i trucchi diventano sempre più sofisticati anno dopo anno.
Come riconoscere una truffa
Proprio come ogni tentativo di pesca inizia con un’esca, così è il caso del phishing. L’esca è spesso sotto forma di un’offerta civetta. Un consumatore vede un prezzo irresistibile su un prodotto che ha sempre desiderato, recapitato via e-mail o in un annuncio pubblicato sui social media, clicca sull’affare e gli viene chiesto di compilare i propri dati personali, come nome e indirizzo, oltre ai dati bancari. Così facendo si inviano queste informazioni direttamente al truffatore. In alternativa, possono creare un sito falso sul quale “finire il lavoro” se alcuni consumatori sono scettici sull’offerta iniziale.
I siti falsi che imitano i siti di shopping popolari durante la stagione dello shopping online, come Alibaba e Amazon, sono preparati con largo anticipo per il grande giorno.
I ricercatori di Check Point hanno notato qualcosa di sorprendente: gli Url di phishing per lo shopping online sono più che raddoppiati dal 2018. In effetti, il numero è aumentato del 233%. Più di 1.700 domini che sembrano simili al dominio amazon.com sono stati registrati negli ultimi sei mesi.
Check Point ha tracciato una campagna di minaccia che coinvolge il popolare marchio di occhiali da sole Ray Ban. La campagna è iniziata il 7 novembre 2019 ed è stata inviata a migliaia di potenziali vittime. Il lookalike domain https://rbs.xwrbs[.]com/ è stato usato come motivo ricorrente in questa campagna di truffa. Il sito truffa accetta pagamenti solo tramite PayPal. Queste pagine incoraggiano il login per iniziare, cosa che può sembrare normale alla maggior parte dei clienti. Tuttavia, non appena vengono inserite le credenziali, come e-mail/nome utente e password, queste informazioni vengono inviate agli hacker, che potranno accedere al vostro account e rubare qualsiasi informazione personale in esso contenuta.
Spesso, i truffatori incoraggeranno l’uso di metodi di pagamento bizzarri, come vaglia, bonifici bancari o carte e buoni prepagati. Questi metodi non solo rendono più difficile individuare il destinatario, ma rendono quasi impossibile recuperare i soldi indietro.
Gli acquisti non sono l’unico modo che i truffatori usano per sabotare le loro vittime. False procedure di reso sono diventate diffuse nel gioco della truffa dell’e-commerce, per cui gli utenti che tentano di effettuare una restituzione compilano le informazioni su un modulo falso che li conduce a un sito web copia del sito su cui hanno effettuato l’acquisto, come ad esempio Amazon, e vengono indirizzati a un falso “centro resi” per compilare maggiori dettagli che i truffatori utilizzeranno e sfrutteranno.
Oltre alle restituzioni false, può anche mancare del tutto una politica di restituzione, il che è insolito per un sito di shopping. Inoltre, la mancanza di una politica sulla privacy, i termini e le condizioni e i dettagli per la risoluzione delle controversie dovrebbero far scattare una bandiera rossa, poiché spesso indicano un sito di phishing. Anche i siti falsi che non forniscono adeguati dati di contatto del venditore dovrebbero destare preoccupazione.
Come evitare di essere truffati
Evitare reti Wi-Fi non protette come quelle presenti negli aeroporti e in altri luoghi pubblici e cercare simboli di sicurezza come cercare un certificato SSL che consenta la crittografia, contrassegnando il sito come sicuro.
Per il Black Friday vengono spesso creati siti speciali come blackfridayscom.tld e black-fridaywalmart.tld per fornire ai clienti un luogo per verificare che i siti che si navigano siano legittimi.
Serve controllare il sito web contenga delle vere e proprie icone di convalida nella sezione pagamenti. Queste icone devono essere cliccabili e non solo immagini.
Sarà più facile recuperare i soldi e o mettere i soldi in un conto deposito (come con PayPal) fino all’arrivo dell’articolo. Non effettuare un bonifico bancario diretto o acquistare una carta prepagata.
È consigliabile provare una ricerca su Google per verificare la validità dei dati di contatto. Siti come WHOIS possono fornire informazioni sul proprietario del sito e sulla durata di esistenza del dominio. Se il dominio non esiste da troppo tempo, questo potrebbe indicare che il sito è stato costruito solo di recente ed è probabilmente falso. Se non esistono dati di contatto, non procedere all’acquisto.
Se non è evidente la politica di restituzione è un buon segno che il sito è falso, in quanto è una parte standard di un sito di e-commerce. Infine utilizzare un software di sicurezza che include una funzione anti-phishing.
