skip to Main Content

Cybercrime, falsa spedizione Amazon veicola un tentativo di frode in Italia

Una falsa spedizione di Amazon, in giacenza presso Poste Italiane, veicola un tentativo di frode cibernetica in Italia. JAMESWT scopre che l’esca è un teorico smartphone, prima vinto e poi in offerta a 1 euro, per far sì che le vittime inseriscano dati personali e della carta di credito in un sito che offre servizi legati alla musica

Una falsa spedizione Amazon sta veicolando un maxi tentativo di frode del cybercrime contro gli utenti in Italia. L‘esca, come ha scoperto il malware hunter JAMESWT, parte da una mail in cui si avvisa la potenziale vittima che Poste Italiane hanno un pacco in giacenza, in quanto “una o più condizioni non sono state soddisfatte” e la si invita a effettuare i cambiamenti necessari per portare a buon fine la consegna. Se l’utente clicca sul link, viene re indirizzato a un sito fake di Poste Italiane, in cui ci sono i riferimenti alla presunta spedizione di Amazon e alla descrizione dell’oggetto: un telefono vinto. Inoltre, si spiega che manca un pagamento di 1,95 euro e si fornisce un collegamento per saldare l’importo. Aprendolo viene mostrata l’immagine di uno smartphone di ultima generazione in offerta a 1 euro e una serie di campi da riempire per riceverlo. Se la vittima compie anche questo passaggio, viene infine indirizzata al sito Music Gosh che offre servizi legati alla musica, in cui viene chiesto di inserire i dati della carta di credito, compreso il CVV per procedere al pagamento.

Non c’è nessuno smartphone vinto. Invece, la vittima viene iscritta in automatico a un abbonamento di un “servizio affiliato”, che costa 37 euro ogni 14 giorni. Cioè 74 euro al mese e 888 all’anno

In realtà, però, l’utente non ha vinto nessun telefono. L’euro addebitato è servito solo ipoteticamente, come riporta lo stesso sito di Music Gosh sulla pagina del pagamento, per partecipare a un concorso. Inoltre, si è abbonato in automatico a un “servizio affiliato” con un periodo-prova di 4 giorni, coperti dall’euro, al termine del quale, se non recede, pagherà automaticamente un canone di 37 euro ogni 14 giorni. Il che si tramuta in 74 euro al mese e 888 all’anno. L’account potrà essere chiuso, ma solo entro il termine di 4 giorni. Altrimenti il servizio sarà rinnovato ogni 14 giorni fino alla sua disdetta. Peraltro, non si sa se questa finestra temporale sia riferita solo al periodo di prova o se abbia valenza anche successiva.

La frode mette a rischio anche la cybersecurity delle vittime, che hanno fornito volontariamente i loro dati privati. Peraltro, lo stesso abbonamento è pericoloso in quanto non è facilmente attaccabile dal punto di vista legale

Lo schema, che ha chiaramente carattere truffaldino, presenta anche un altro grande rischio per la cybersecurity: quello legato ai dati, in questo caso non sono rubati dal cybercrime, ma forniti direttamente dall’utente. Le informazioni personali e quelle della carta di credito, infatti, potrebbero essere usate anche per altri fini oltre che per l’abbonamento a Music Gosh. Dal furto di denaro ai ricatti, ad attacchi di phishing mirato o generalizzato. Tutta l’operazione è, guardandola attentamente, palesemente una truffa. A partire dal testo in italiano della mail, che presenta errori e sembra montato alla rinfusa, fino al pacco Amazon consegnato da Poste Italiane. Però, è comunque molto pericolosa. Ciò in quanto segue una serie passaggi precisi e apparentemente coerenti che potrebbero indurre in errore le vittime. E, nel migliore dei casi, addebitare importi dichiarati formalmente. Quindi non facilmente attaccabili dal punto di vista legale.

La falsa mail sulla spedizione di Amazon in giacenza presso Poste Italiane con il link da cui parte lo schema della truffa

Il secondo passaggio: il falso sito di Poste Italiane a cui la vittima viene indirizzata aprendo il link nella mail

Il terzo passaggio: il sito in cui inserire i propri dati personali per ottenere uno smartphone a 1 euro, a cui si arriva dal link presente nel falso sito di Poste Italiane

L’ultimo passaggio della truffa: il sito finale di Music Gosh in cui inserire i dati della carta di credito. A destra c’è la spiegazione sul vero obiettivo di tutto l’impianto

La specifica di ciò che avviene in realtà, compresa la sottoscrizione dell’abbonamento, se l’utente inserisce i dati della carta di credito nel sito di Music Gosh

Back To Top