Attenti alla nuova truffa Sorpresa Esselunga: svuota il conto

Ennesima truffa online in Italia, ancora una volta basata su una email di phishing che sfrutta il nome e la fama di un’importante catena di supermercati (totalmente estranea ai fatti). Stiamo parlando dell’ultima truffa “Sorpresa Esselunga” e la sorpresa, se non si sta molto attenti, è quella di trovarsi il conto in banca vuoto.

Il meccanismo della truffa è quello, ormai ampiamente rodato, del sondaggio: se l’utente risponde a dieci domande, allora riceve un regalo di elevato valore dall’azienda. Nel caso specifico, il regalo sarebbe un set di contenitori ermetici da cucina da 36 pezzi, per un valore di 399 euro. Chiaramente, però, nulla di tutto ciò è vero.

La truffa Sorpresa Esselunga

La truffa Sorpresa Esselunga inizia con una email di phishing che non contiene del testo ma solo una immagine con un link. L’indirizzo di provenienza, però, non ha nulla a che fare con Esselunga, ma è quello di un inconsapevole utente Gmail al quale, evidentemente, hanno hackerato l’account.

Questo dettaglio da una parte permetterebbe già di archiviare l’email come truffa, ma dall’altra inganna i sistemi anti phishing delle caselle di posta e permette al messaggio di arrivare a destinazione senza essere bloccato prima.

Se l’utente che riceve l’email fa clic sull’immagine, tramite cui viene invitato a compilare un sondaggio di 2 minuti per vincere un set Tupperware da 36 pezzi, allora viene portato su un sito creato appositamente per truffarlo.

Anche in questo caso, l’indirizzo del sito non ha nulla a che fare con quello vero di Esselunga. Il contenuto, però, imita alla perfezione i loghi e i colori del marchio italiano e contiene il solito messaggio per mettere fretta all’utente meno attento e meno cauto: “Attenzione! Questa offerta di sondaggio scade oggi“.

Il sondaggio vero e proprio è composto da una decina di domande tutto sommato credibili, come “Quanto spesso fai acquisti da Esselunga?” o “Come valuteresti la varietà di marchi presenti in Esselunga?“. Alcune delle domande contengono dei refusi, come “Esselungas“, o delle frasi scritte in italiano non perfetto, segno di una traduzione automatica da altre lingue.

Dopo la decima domanda il sito fa finta di controllare le risposte e poi mostra la schermata con il premio e, subito dopo, dei commenti scritti da profili fake. Alcuni dei commenti, che naturalmente sono tutti favorevoli all’iniziativa-truffa, contengono delle foto del set di contenitori.

A questo punto, però, si consuma la truffa vera e propria perché per ricevere il set omaggio, dal costo dichiarato di 399,99 euro (ed è un prezzo credibile, per quella marca), è necessario pagare 2 euro di spese di spedizione.

Per rendere più credibile questa fase, però, i truffatori hanno scelto di non chiedere subito i dati della carta di pagamento: prima l’utente-vittima dovrà inserire l’indirizzo di spedizione, nome, cognome, numero di telefono. Tutti dati che, poi, i cybercriminali useranno per inviare altro spam e altri tentativi di truffa.

Fatto ciò, arriva la schermata realmente pericolosa, cioè quella in cui bisogna inserire i dati della carta per pagare i presunti 2 euro per la spedizione: numero della carta, data di scadenza e, soprattutto, CVV.

Una volta inseriti questi dati, la carta è in mano ai cybercriminali che, nel giro di poco, inizieranno a usarla per fare acquisti online fintanto che sulla carta (o sul conto ad essa collegato) c’è del denaro.

Come difendersi dalle truffe online

Inutile dire che Esselunga è totalmente estranea a questa truffa, come a tutte le altre truffe simili che, nel corso degli anni, hanno provato a sfruttare il suo nome. Tuttavia, poiché le grafiche e i loghi della catena di supermercati sono imitate molto bene dai truffatori, l’utente può cascarci se non sta molto attento.

Per questo l’azienda ha messo online una pagina in cui spiega come riconoscere le frodi a tema Esselunga e il primo suggerimento che viene dato è quello di controllare l’indirizzo del sito sul quale si finisce dopo aver fatto clic sul messaggio iniziale. Questi, ad esempio, sono indirizzi sicuri:

www.esselunga.it
www.esselunga.it/approfondimento/frodi-online.html

Mentre questi, al contrario, sono certamente siti fake:

www.esselunga@italia.it/KKPoBVBD7?/buonoregalo.html
www.esselunga-italia.it/KKPoBVBD7?/buonigratis.html
www.slunga@utente.com/IT-it/tupperware.html

Stesso discorso per l’indirizzo da cui proviene l’email, mentre è più difficile controllare la provenienza in caso di messaggio sui social o tramite app di messaggistica come WhatsApp.

A questi suggerimenti, poi, noi aggiungiamo sempre il nostro: nessuno regala niente, anche per non rischiare di fare un assist ai truffatori rendendo credibili queste iniziative.