Libero
SICUREZZA INFORMATICA

Streaming: attenti alla truffa svuotaconto

Ennesimo tentativo di truffa per miglioni di italiani: questa volta l'esca è l'abbonamento alla piattaforma di streaming, ma l'obbiettivo è sempre la carta di credito dell'utente

La truffa migliore non è mai quella più ricca: è quella più credibile. Un vero criminale sa che è meglio rubare un euro a un milione di persone piuttosto che 100.000 euro ad una persona sola. Non deve stupire, quindi, il fatto che siano ormai in corso delle campagne di phishing (cioè delle truffe online organizzate su larga scala) per tentare di far “abboccare” più utenti possibile con un’esca credibile e diffusa: l’abbonamento alle piattaforme di streaming.

Tra Netflix, Disney+, DAZN, Amazon Prime Video, Paramount+ e tutte le altre piattaforme disponibili è sempre più probabile che “l’italiano medio” abbia almeno un abbonamento. Per questo motivo diventa una potenziale vittima della truffa del rinnovo dello streaming scaduto.

Streaming scaduto? E’ una truffa

Al momento la truffa dello streaming scaduto viaggia ancora su binari “old style” e viene diffusa con la cara vecchia email di phishing, sempre cara ai truffatori.

Il messaggio che l’utente si trova nella casella di posta riporta le grafiche contraffatte della piattaforma di turno e una scritta semplice ma efficace: “Il tuo account è scaduto!“.

Abbiamo avuto modo di visionare alcuni di questi messaggi, realizzati per puntare agli utenti Disney+, ma ne esistono altre versioni per le altre piattaforme.

Il messaggio continua così:

Caro cliente, il tuo account Disney+ è scaduto. Ma, come parte del nostro programma fedeltà, puoi estenderlo gratuitamente per 90 giorni.

Segue il grande tasto “Estendi gratuitamente” e un ulteriore messaggio:

* Dopo l’iscrizione, dovrai inserire i dettagli della tua carta di credito per la convalida del tuo account. Noi non addebiteremo alcun importo.

Si tratta, quindi, di un tipico messaggio truffa, ma di quelli fatti bene. Innanzitutto è scritto in perfetto italiano, senza errori grossolani di traduzione né errori di grammatica.

Poi inizia con un messaggio che mette allarme (il tuo account è scaduto!), ma subito dopo rassicura e promette un vantaggio (i 90 giorni gratis). Infine, prepara l’utente al fatto che dovrà inserire il numero della carta di credito e gli fa credere che si tratti di un’operazione sicura (Noi non addebiteremo alcun importo).

Chiaramente è tutto falso: se l’utente preme il tasto viene reindirizzato ad una pagina Web che, nuovamente, imita le grafiche e i loghi di Disney e Disney+ ma che è ospitata su un dominio che non ha nulla a che fare con Disney.

Quando l’utente preme nuovamente il tasto per rinnovare l’abbonamento, in realtà mai scaduto, viene mandato su un’altro sito ancora, che è quello dove avviene il vero furto dei dati della carta di credito.

Streaming: come scoprire se è una truffa

L’esempio che vi abbiamo portato è un messaggio che punta ai clienti Disney+, ma ne stanno circolando altre versioni per le altre piattaforme, quindi nessuno è al riparo da questi tentativi di truffa.

Per tutti, però, vale la stessa regola che, se conosciuta dall’utente, lo mette immediatamente in grado di riconoscere la truffa. E la regola è semplice: tutte le piattaforme hanno il rinnovo automatico ogni mese, quindi è impossibile che l’abbonamento scada e vada rinnovato manualmente.

In ogni caso, però, ogni piattaforma di streaming ha la sua app per smartphone che, salvo casi rarissimi, non è hackerabile e, di conseguenza, deve restare il punto di riferimento dell’abbonato: se c’è un problema con l’abbonamento, infatti, viene segnalato tramite l’app e non tramite una email.

Anche il numero di telefono del servizio di assistenza, sempre utile quando si hanno dubbi su pagamenti e fatturazione, va cercato all’interno dell’app e non in una email ricevuta.

Infine, se proprio si finisce per cliccare su quel link (mai cliccare sui link ricevuti per email, SMS o WhatsApp), controllare sempre molto bene l’indirizzo del sito sul quale veniamo portati: non è mai quello ufficiale della piattaforma imitata dall’email.