Attenti alla truffa del regalo Telepass: svuota il conto
Sta circolando una nuova truffa via email: porta ad un sito contraffatto che sfrutta il brand Telepass per svuotare il conto alle vittime
Una nuova campagna di email di phishing si sta diffondendo tra gli utenti italiani e sfrutta un brand molto noto e apprezzato in Italia, tra l’altro già usato in passato dai truffatori per lanciare esche alle potenziali vittime. Il brand in questione è Telepass, storico gestore (ex unico) del telepedaggio sulla rete autostradale italiana.
La truffa che circola in questi giorni parte da una email di phishing, nella quale si promette un kit di riparazione auto in omaggio a tutti coloro che compileranno un sondaggio su Telepass.
La scusa del sondaggio è una delle più usate dai truffatori: in passato ci sono state campagne di phishing con finti sondaggi Iliad in cui si promettevano iPhone o Samsung in regalo, più recentemente si sono visti finti sondaggi Esselunga che promettevano set di contenitori ermetici per la cucina.
Truffa finto regalo Telepass: come funziona
Questa nuova truffa segue il classico schema che parte da una email di phishing, nella quale si annuncia alla potenziale vittima la vincita di un kit di riparazione auto del valore di 99,95 euro.
Per ottenere il regalo si deve fare clic su un link, che porta al sito truffa vero e proprio. Il sito replica in modo abbastanza fedele le grafiche e i colori di Telepass e contiene un sondaggio di sei domande sul gradimento dell’utente nei confronti del brand Telepass e delle pubblicità sui suoi servizi.
Tutto sembra assolutamente legittimo, ma non lo è affatto: è tutto finto, è tutto una truffa. Al termine del finto sondaggio, infatti, il sito inizia a chiedere i dati personali della vittima: nome, cognome, indirizzo email, numero di telefono, indirizzo di residenza, cap e città. Tutti questi dati verranno poi venduti sul dark web ad altri truffatori.
La pagina successiva del sito svela la truffa vera e propria: il kit è gratis, ma si pagano 2 euro di spedizione. Una cifra volutamente bassa, per allettare le vittime a inserire i dati della propria carta di credito per pagare l’invio della merce pensando che, nella peggiore delle ipotesi, si perderanno solo pochi spicci.
Ma non è affatto così, perché tra i dati richiesti dal sito truffa c’è anche il codice CVV della carta, che viene usato per autorizzare i pagamenti online. Se la vittima lo inserisce, quindi, regala la carta ai truffatori con tutti i soldi al suo interno.
I truffatori non ci metteranno molto a svuotare la carta, facendo acquisti con i soldi della vittima in orario notturno, per non farsi scoprire mentre lo fanno. Inutile dire, tra l’altro, che non c’è nessun kit in regalo e che Telepass non c’entra nulla con questa truffa.
Come difendersi da questa truffa
Esattamente come su Libero Tecnologia vi suggeriamo sempre, quando parliamo di truffe online, la prima regola per non restare vittime e perdere i propri soldi è quella di usare la massima prudenza e molta, moltissima diffidenza: nessuno regala nulla, né su Internet né nella vita offline.
In caso di dubbi, tuttavia, è sempre bene controllare se sul sito che ci chiede dati personali e carta di credito c’è qualche segnale di truffa. Il primo, che già basta a capire di che sito si tratta, è la URL (cioè l’indirizzo: www.nomesito.xyz).
Nella stragrande maggioranza dei casi la URL non è nemmeno lontanamente simile a quella del vero sito ufficiale dell’azienda imitata dai truffatori. Questo perché, per mettere a segno queste truffe, molto spesso si usano pagine caricate all’occorrenza su siti Web hackerati poco prima, che non c’entrano nulla né con i truffatori né con l’oggetto specifico della truffa.
Per lo stesso motivo, poi, di solito il sito non è pienamente navigabile e molti pulsanti e icone sono finti: se l’utente ci clicca sopra non succede niente.
Stesso discorso per il mittente dell’email iniziale, quella con il link al sito truffa: quasi sempre è un indirizzo email legittimo, che non ha nulla a che vedere con quello del brand imitato ma è stato hackerato e sottratto al legittimo proprietario, che non ne sa nulla di come gli hacker lo stanno usando.
Come difendere il conto: 2FA e passkey
Per avere la massima garanzia di sicurezza oggi disponibile nei pagamenti online, ed evitare che truffe del genere si trasformino in un incubo per il nostro conto corrente online, c’è comunque più di uno strumento tecnico che possiamo usare.
Attivando l’autenticazione a due fattori (2FA), infatti, anche se qualcuno ci ha clonato la carta non potrà avere anche il secondo fattore di autenticazione per autorizzare i pagamenti. Ogni volta che l’hacker proverà a usare la nostra carta, quindi, noi riceveremo un messaggio con il codice da inserire come secondo fattore mentre lui no, perché non ha la nostra SIM telefonica.
Con la 2FA, quindi, otteniamo subito due vantaggi: il primo è che sappiamo subito se qualcuno sta provando a spendere i nostri soldi, il secondo è che gli impediremo di farlo.
Per aumentare ancor di più la sicurezza del nostro conto online, poi, è utilissimo impostare una passkey biometrica come secondo fattore di autorizzazione, al posto del PIN inviato via SMS. Usando l’impronta digitale, ad esempio, l’hacker non potrà pagare con la nostra carta nemmeno se è riuscito a clonarci anche la SIM perché, sul nostro numero di telefono, non arriverà alcun codice da inserire per autorizzare il pagamento.
