Negli ultimi mesi sono balzati agli onori delle cronache diversi casi di utenti truffati da persone sotto le cui mentite spoglie si celavano malviventi conosciuti su app di dating. Non una novità assoluta, ma lo schema scoperto da Sophos, battezzato CryptoRom, ha colpito utenti europei e statunitensi per un totale di 1,4 milioni di dollari. I criminali utilizzano per danneggiare le proprie vittime, tecniche di ingegneria sociale e false app di criptovalute per Android e iOS.
Come funziona la truffa CryptoRom
I malviventi attraverso falsi profili attirano le proprie vittime conosciute su app quali Bumble e Tinder. La tecnica è spesso la medesima. Dopo aver ottenuto la fiducia della vittima, il malintenzionato dichiara di aver investito del proprio denaro per portare un investimento ad una determinata somma. Grazie al quale si potrebbero ottenere rendite altrettanto rilevanti, attraverso a presunte “tasse sulle plusvalenze”. Sophos ha dichiarato di aver ricevuto segnalazione di un caso in cui una vittima si è vista sottrarre 625.000 dollari per riappropriarsi di 1 milione investito in un finto servizio di trading di criptovalute, raccomandato dal malintenzionato conosciuto su una piattaforma di incontri online.
I truffatori per avviare la truffa devono convincere la vittima ad installare una finta app per il trading di criptovalute per dare il via ad un piano di investimento. Le app vengono installate solitamente sotto forma di web clip e sono progettate per somigliare ad app altrimenti attendibili. L’utente che suo malgrado dovesse cadere nella trappola e procede all’investimento, si vedrà sottrarre il 20% dello stesso con la scusa di una fantomatica “tassa sulle plusvalenze”, quando questi cerca di ritirare dei fondi o chiudere il conto. Se non si può procedere al pagamento, l’organizzazione criminale prevede persino un prestito. Come se non bastasse, gli stessi malviventi hanno addirittura finti siti web che promettono di aiutare a recuperare le somme di cui si è stati truffati. I truffatori hanno dunque previsto uno schema a seconda di ogni tipo di reazione che la vittima potrebbe assumere a seconda dei vari casi. Secondo Sophos, attraverso CryptoRom, le vittime hanno perso risparmi di una vita o la somma destinata alla pensione.
I metodi utilizzati dai truffatori per avviare CryptoRom
Come già detto i malintenzionati scelgono le loro vittime attraverso le app di dating, ma non solo. I malcapitati possono anche rispondere attraverso SMS e tentativi di smishing, o anche attraverso WhatsApp o altre modalità, le cui informazioni sono state sottratte altrove. Ecco perché prima di condividere certe informazioni online, bisognerebbe pensarci due volte.
Ma non sono le uniche modalità impiegate dai malviventi. Esistono anche funzioni quali TestFlight di Apple, sviluppata al fine di consentire ad un gruppo limitato di persone di installare o provare una nuova app iOS attraverso una verifica Apple meno rigorosa del normale. Secondo quanto riferito da Sophos, CryptoRom ha sfruttato le funzioni di iOS quali Super Signature e Enterprise Program di Apple per i propri obiettivi. Anche i siti utilizzati dai malviventi replicano quelli più attendibili, tecnica utilizzata spesso nel phishing.
Secondo Jagadeesh Chandraiah, senior threat researcher di Sophos, è preoccupante vedere come le persone continuino a cadere preda di queste truffe. Le vittime inoltre ricorrendo a transazioni estere e a mercati di criptovalute non regolamentati, non hanno alcuna tutela legale sui fondi investiti. Chandaiah ha inoltre ricordato che “Si tratta di un problema esteso all’intero settore che non è destinato a scomparire da solo. Abbiamo bisogno di una risposta collettiva che preveda la tracciabilità delle transazioni con criptovalute, la diffusione della consapevolezza di queste tipologie di frode da parte degli utenti e la capacità di rilevare ed eliminare velocemente i finti profili che alimentano queste attività illecite”.
Come difendersi dalle truffe online
“Fidarsi è bene, non fidarsi è meglio“, diceva una massima. In particolar modo sarebbe bene non fidarsi di nuove conoscenze che “ronzano” attorno al proprio capitale. Le tecniche di ingegneria sociale impiegate dai malviventi possono convincere anche gli utenti più ingenui a fidarsi, ma i criminali sfruttano anche le informazioni reperite sui social per entrare più facilmente in empatia con la vittima (potrebbe essere utile approfondire le tecniche di doxing). Inoltre sarebbe bene non scaricare software alcuno che non provenga dagli store ufficiali Android ed iOS; certo, ci sono state diverse occasioni in cui software malevolo è apparso sulle piattaforme dei vari sistemi operativi, ma quando si tratta del proprio patrimonio, è sempre meglio pensarci su più di una volta. Inoltre, è fortemente sconsigliato investire, specialmente in criptovalute, se non si è esperti in materia. E men che meno da piattaforme non attendibili e che non riscontrino il dominio corretto nella barra degli indirizzi, benché ne replichino le fattezze.
Leave a Reply