FalsoMagro

Il post sulla truffatrice che si spaccia per l’affidabile Avvocato Giuseppe Perna o Giuseppe Pellegrino sta raccogliendo un numero crescente di persone toccate dalla truffa sui siti di aste ed annunci. Canon EOS 7D, Nikon D300, Bimby, tutti regali che il truffatore avrebbe ricevuto in regalo e che venderebbe a prezzi stracciati 400-450 euro per recuperare qualche soldino.

Molti utenti si sono insospettiti e grazie alle inchieste del Falsomagro si sono risparmiati la truffa, molti altri invece hanno scoperto il trucco dopo il pagamento. Ho personalmente segnalato la truffa a Le Iene parecchi mesi fa, ma non ho avuto risposta, oggi ho provato con SOS Gabibbo  di Striscia la Notizia, magari la cosa può risultare interessante per Max Laudadio o per Moreno Morello….

Il servizio ha ricevuto la mia mail e mia ha ringraziato, vedremo ora se decideranno di far salire la vicenda agli onori della cronaca, sarebbe un bel colpo per la nostra astuta truffatrice, sicuramente la fetta di pubblico raggiungibile dalla TV è ancora maggiore di quella del web, soprattutto è meno “sgamata” e più bisognosa di consigli per tutto ciò che riguarda il prevenire le truffe online.

No, non vi voglio ricapultare ai tempi della ruotona finale di OK il prezzo è giusto, ma solo segnalarvi che il mio post sulle disavventure degli utenti al cospetto dell’architetto Perna, anche noto come dott. Giuseppe Pellegrino, ma che noi abbiamo essere scoperto essere in realtà una donna, ha raggiunto e superato quota 100 commenti.

Passata da Nikon D300 a Bimby, passando per Canon 7D, la nostra truffatrice continua imperterrita sotto mentite spoglie ad adescare malcapitati, con la solita storia: un prezzo basso visto che il prodotto in vendita è doppione avuto in regalo, la proposta di un anticipo e di un saldo a prodotto ricevuto, la ricarica su PostePay e la scomparsa.

Come dicevo nei commenti ho provato a segnalare la vicenda anche alle IENE, consigliando comunque a tutti i truffati di sporgere denuncia alla Polizia Postale e a tutti gli altri a inviare comunque una segnalazione alle Forze dell’Ordine, in ogni caso la prevenzione e la diffusione delle informazioni è fondamentale per salvare possibili vittime dalla truffa.

Come ogni volta che c’è un evento o un avvenimento in grado di catalizzare l’attenzione del pubblico a livello mondiale, i truffatori informatici si mettono all’opera per sfruttare al massimo i punti deboli degli utenti.  Il tema del momento sono certamente i Mondiali di Calcio e i criminali informatici hanno ideato nuove truffe di phishing legate all’evento.  Gli stratagemmi sono molti e vanno alla vendita online di biglietti falsi, alle finte vincite di finte lotterie, fino ad arrivare allo spargimento di malware tramite url ridotti camuffati da notizie in anteprima su squadre e calciatori che partecipano ai mondiali.

Nel primo caso i consigli sono i soliti: i biglietti destinati alla rivendita dalla FIFA possono essere venduti unicamente attraverso le piattaforme ufficiali e ogni altro canale deve insospettire e mettere in guardia.

Nel caso delle finte lotteri l’aspetto particolare è che queste truffe non chiedono subito le informazioni richieste di solito dalle truffe di phishing, ovvero numero di carta di credito, PIN, codici di sicurezza CVV, etc. Per rendere ancora più credibile questa tattica, i criminali chiedono infatti, in un primo tempo, solo il numero di telefono, passando poi alle informazioni personali. Il soggetto delle mail fasulle è il seguente “winner - fifa world cup online draw,” e  “winner - fifa world cup online draw”.

Le truffe più serie riguardano però gli episodi di phishing che utilizzano URL di notizie ed eventi sui Mondiali di Calcio al fine di incoraggiare gli utenti a visitare un sito fasullo di una banca dove inserire le proprie informazioni personali. I truffatori potrebbero inoltre sfruttare strumenti di social networking come ad esempio Facebook, Twitter o FriendFinder.

Altri messaggi di spam installano malware sul computer dell’utente o dirottano le sessioni del browser con funzionalità rootkit. Non è proprio un buon affare avere il computer rallentato, soggetto a riavvii frequenti e file scomparsi in cambio di una notizia in più sui Mondiali di Calcio!

Il Tagliaerbe è sempre avanti un passo nel panorama web italiano. Quasi un mese fa ha parlato di Foursquare e Gowalla, invitandomi a provare questi due nuovi social network, basati sulla posizione geografica. Manco a farlo apposta qualche giorno fa il creatore di Foursquare si è guadagnato la copertina di Wired UK, come social golden boy del momento. Io personalmente sto utilizzando i due servizi da un po’ di tempo e come il Taglia ne intravedo interessanti opportunità. Si tratta di servizi molto mobile, basandosi sulla posizione geografica dell’utente e l’esperienza da cellulare è fondamentale.

In pratica ovunque si va si può fare il check-in vedendo quali altri utenti si trovano nello stesso luogo oppure facendo sapere a tutti tramite Twitter e Facebook dove ci si trova, invitando gli amici a raggiungerci. Più check-in si fanno (o in generale più azioni si fanno) più punti si accumulano e più distintivi si guadagnano. L’idea dei distintivi è molto interessante e crea quella giusta tensione da competizione, portando gli utenti ad utilizzare molto il servizio, per emergere dall’anonimato della massa.

Su BlackBerry Foursquare è più intuitivo e soprattutto più veloce e snello, facile da usare. Gowalla al contrario è macchinoso e lento, a un abisso di distanza dalla versione che ho visto girare sull’iPad del Taglia, dove invece dava il meglio di sé. E voi li avete provati? Su che piattaforma? Quali badge avete guadagnato? I miei li potete vedere qui.

È interessante vedere le statistiche delle applicazioni mobili più utilizzate dagli utenti, rendono bene l’idea di come si sia evoluto il concetto di smartphone e soprattutto di quale sia l’utilizzo tipico. Smartphone uguale intrattenimento. Il primo verdetto dell’analisi Nielsen è questo.

I giochi sono l’applicazione più utilizzata su smartphone e cellulari, segno che il telefonino è valido compagno ammazzanoia tra un’attività e l’altra. Notizie, meteo, navigazione e mappe online, social networking seguono tra di essi ravvicinati, ma staccati di dieci punti percentuali.

 Segmentando l’analisi sulle diverse piattaforme più diffuse troviamo però una sopresa: su iPhone, BlackBerry, e sul resto della popolazione smartphone ad esclusione di Android, l’applcazione più scaricata è Facebook, segnale che pur non essendo quella su cui gli utenti passano più tempo e in assoluto quella che non può mancare sul proprio cellulare evoluto.

Gli utenti di Android sono meno social? No, anche per essi Facebook è al secondo posto della graduatoria, scalzata solo da Google Maps, che sul sistema operativo mobile del colosso di Mountain View riceve sempre funzionalità particolari in anticipo rispetto alle altre piattaforme.

Ultimamente le conferenze stampa delle softwarehouse che producono antivirus sono sempre più accopagnate da iniziative legate alla Polizia Postale e delle Telecomunicazioni: il trend del cybercrimine ha lasciato perdere un po’ il virus che attacca il software del PC per concentrarsi sulle truffe e il malware che passa attraverso le mani degli utenti.

In occasione di un evento (TG Security 2010) organizzato da Symantec ho avuto l’occasione per fare due chiacchiere con Sergio Staro, della Polizia Postale, e fargli un paio di domande sugli argomenti più caldi delle pagine del Falsomagro. Il primo filone è quello dell’inchiesta sui lavori coi bonifici via email, alla quale ho dedicato diversi post e una serie di interviste a utenti caduti nella trappola. Ecco il parere di Staro in merito:

 Come sempre il consiglio è quello di non accettare lavori troppo allettanti, che puzzano di truffa, ma nel caso si abbia messo il piede in fallo la denuncia immediata è l’unica cosa da fare ed è quella che minimizza le conseguenze negative, legali e penali della vicenda. Certo il desiderio di molti sarebbe quello di trovare il modo di uscirne del tutto impuniti, ma dopotutto ognuno deve anche prendersi la responsabilità delle proprie azioni, e accettare un lavoro del genere, anche se ben mascherato da pienamente legale, è una chiara responsabilità.

Nella prossima puntata parleremo con Staro delle truffe relative agli acquisti online di beni e dei loschi figuri come l’architetto Perna (che si è poi scoperto essere una donna!).

Negli ultimi tempi la cosa si è un po’ placata, ma c’è stato un periodo in cui ero letteralmente bombardato da richieste di iscrizione a gruppi come “Scopri chi visita il tuo profilo Facebook“, “Scopri chi guarda il tuo profilo“, “Facebook extended, funziona davvero!“, “Scopri chi guarda le tue foto su Facebook“,  “Facebook Stats Pro“, “Trucchi Facebook: come vedere se un amico visita il tuo profilo“, “Scopri chi visita il tuo profilo! Metodo ufficiale, sicura al 100%”.

C’è qualcosa di vero in tutte queste affermazioni? ASSOLUTAMENTE NO! È impossibile tracciare la navigazione sul nostro profilo, sarebbe una cosa da fare a lato server a basso livello da Facebook stesso, non è possibile che una semplice applicazione  “da profilo” possa mettere a disposizione un tool del genere.

La domanda a questo punto non è “come”, visto che è impossibile, ma “perché”. Penso che la questione possa andare in due direzioni: da una parte il multilevel marketing. Un gruppo con molti utenti potrebbe vendere al migliore offerente i dati personali (a cui ognuno di noi dà accesso da parte dell’applicazione che va ad installare sul profilo), tra cui la nostra email su cui spammare offerte commerciali indesiderate. Addirittura potremmo anche trovarci (e i casi riportati sono ormai parecchi) iscritti a un gruppo che prima si chiamava “SuperFacebook, scopri chi visita il tuo profilo e guarda le tue foto” e poi cambia (senza avvertirci) nome e diventa “Abbasso i bambini down“. Dopo il danno (qualcuno ha venduto i nostri dati personali), la beffa (ci troviamo tacciati di una discriminazione con la quale manco siamo d’accordo, che anzi magari aborriamo come fumo negli occhi).

L’altra direzione è una monetizzazione diretta dei click. Tu installi l’applicazione e ti ritrovi sulla pagina dove ti viene promesso di scoprire il numero e il nome di quanti hanno visitato il tuo profilo; clicchi sul bottone continua e… l’omino che ha messo in piedi la truffa si intasca i soldini dell’inserzione che ha abilmente nascosto sotto il bottone “Continua”. Oltre ad avergli regalato i tuoi dati personali gli doni anche qualche centesimo di euro.

Quanto sono diffuse queste applicazioni truffa? Trend Micro ne ha contati ben 25 cloni di una delle tante…

Sempre rimanendo in ambito FacciaLibro sta tornando all’attacco anche lo spammer-scammer che invia finte email da parte di Marc Zuckerberg e dello staff Facebook, nelle quali di avverte l’utente che la sua password è stata reimpostata. La fregatura non sta in questo caso in un link che rimanda a una pagina fasulla creata ad hoc per rubare username e password, ma sta in un ben più pericoloso allegato .zip che promette il recupero della password modificata. L’allegato è un pericoloso password stealer, in grado di rubare e inviare al cybercriminale di turno tutte le password che inseriamo nel nostro PC, incluse quelle della posta, del server aziendale e della nostro conto in banca online.

Che dire? Ogni volta che vedete una email che vi invita a recuperare una password smarrita, se non avete mandato voi la richiesta 5 secondi prima, rifuggitela come la peste, cancellatela, mettetevi in salvo!!! 

L’hot topic del momento nell’ambito dei lavori part-time da casa è quello relativo ai gioielli: in particolare la rete è sotto spam-attack da parte di fantomatici dipendenti della altrettanto fantomatica Western Gold, tutti con indirizzo email @western-gold.net .

Come sempre gli utenti vengono attirati da un lavoro ben retribuito, effettuabile da casa in 1-2 ore, con semplici compiti amministrativi: in realtà vengono poi coinvolti in un giro di bonifici in arrivo dal phishing. In pratica i criminali rubando i dati personali (magari con finte email della banca) si introducono nei conti e dirottano i fondi verso il conto del malcapitato collaboratore part-time; quest’ultimo li preleva dal proprio conto e tramite Western Union o MoneyGram li invia all’estero, pensando di fare un semplice e pulito passaggio amministrativo di una rispettabile ditta di preziosi, dal quale ricava semplicemente una percentuale (per altro molto elevata, si parla dell’8% su cifre di anche 2000 euro).

Alla fine dei passaggi il malcapitato utente caduto nella trappola dei lavori coi bonifici si ritrova ad essere l’ultimo passaggio tracciabile della catena criminale, non essendolo il trasferimento di contanti, soprattutto all’estero. I possessori dei conti defraudati trovano, infatti, in lui il destinatario dei fondi a loro sottratti e lui non può dimostrare dove siano andati a finire i soldi, trovandosi a rifonderli di tasca sua.

Che fare? Stare attenti a queste golosissime superofferte di lavori super-retribuiti a fatica zero. E ascoltare Google: la nuova funzionalità antiphishing di Gmail, ad esempio, non solo mi ha identificato come spam tutti i messaggi dagli indirizzi xxx@western-gold.net, ma alla loro apertura mi ha chiaramente avvisato della loro molto probabile natura truffaldina.

Lo diciamo spesso qui sul Falsomagro: ogni volta che un argomento balza prepotentemente agli onori della cronaca e risveglia le googolate degli utenti, gli hacker si fregano le mani. Tanto interesse significa tanto traffico web, e molte pagine generate significano più possibilità di nascondere da qualche parte del malware.

Inoltre capita spesso che questo tipo di argomenti, come il lancio dell’Apple iPad, risvegli la curiosità tecnologica degli utenti anche meno smaliziati, quelli, per intenderc, più esposti alle trappole degli hacker. Sistemi e browser poco aggiornati, tendenza a cliccare qualunque cosa che si muove e voglia di approfittare di offerte incredibili, sono un mix deleterio, che porta più infezioni di un giro in ospedale…

I ragazzi che frequentano adesso le scuole medie e i primi anni delle superiori potrebbero essere definiti la “Generazione Google e Wikipedia”. La riflessione la facevo qualche giorno fa, ma è tornata d’attualità dopo un articolo del direttore del Sole24Ore, Gianni Riotta, sul web e sull’appiattimento dei contenuti a causa del web, in particolare dell’user generated Web 2.0; si tratta di un’intervista a Jaron Lanier, personaggio noto ai lettori di Wired, di cui è una delle firme più note.

I ragazzi quando vengono incaricati di una ricerca troppo spesso si limitano a un copia/incolla non ragionato della prima fonte nella maggior parte delle volte è proprio il motore di ricerca di Mountain View, le cui pagine sono giornalmente scalate dai contenuti in arrivo dall’enciclopedia libera.

Come dice Lanier “Se volete sapere qualcosa la chiedete a Google, che vi manda a Wikipedia, punto e basta“. Un copia e incolla per altro poco furbo, tanto che se aprite uno dei loro contenuti, che magari vi hanno mandato via email come articolo su un tema assegnato per il giornalino locale, in formato html vi ritrovate non solo le stesse parole di Wikipedia, ma anche tutti i link allegati.

Certo anche noi quando eravamo a scuola attingevamo all’enciclopedia, ma per ragioni tecniche (dovevamo scrivere a mano!) c’era almeno un passaggio di rielaborazione del testo e spesso una ricerca su più fonti, anche per trovare qualcosa di meno criptico della Garzantina o dell’enciclopedia DeAgostini. Ora invece Wikipedia è scritta dagli utenti per gli utenti, in modo molto più “potabile”, anche se (e questo passaggio forse non è chiaro ai più giovani) in modo molto meno autorevole.

Se prima ogni voce era frutto di lunghe verifiche storiche, oggi su Wikipedia può capitare di imbattersi in voci che riflettono l’opinione personale di chi le ha scritte, soprattutto in quei casi in cui l’essere di “nicchia” di alcuni argomenti non sottopone gli scritti al giudizio e alla revisione di molti altri utenti.

L’idea che tutti possano contribuire al sapere enciclopedico è affascinate, ma il problema della verifica della realtà di quanto è scritto si pone come una urgenza. Prima ci si affidava all’autorevolezza dell’istituto che pubblicava i tomi, certamente opinabile, sicuramente in alcuni frangenti non condivisibile del tutto, ma comunque frutto di ricerche e studi. Ora su Wikipedia è difficile stabilire il grado di autorevolezza dell’autore.

A volte può essere maggiore di quello dei Diderot (nel caso ad esempio di voci scientifiche riempite da super esperti del settore che a volte non rientrano nella cerchia degli istituti che pubblicano le enciclopedie), ma a volte può esserne ben lontano.

Le parole di Lanier si spingono a un livello anche superiore analizzando come sia Google che Wikipedia siano le forme di accesso del mondo attuale al sapere, ma che siano divisi da profonde differenze “Google come aggregatore industriale di sapere, Wikipedia come aggregatore volontario di sapere“, “un’azienda strepitosa e un gruppo sterminato di volontari, che non possono continuare a mischiare diamanti e cocci di bottiglia“. Tutto ruota attorno al complesso concetto di verità, non così scontato come potrebbe sembrare…