In Italia è in circolazione un SMS, indirizzato alla “mamma”, in cui il mittente avvisa di aver cambiato numero telefonico e chiede di essere contattato via WhatsApp
In queste ore molte persone hanno ricevuto un SMS, indirizzato alla “mamma”, in cui il mittente avvisa di aver cambiato numero telefonico e chiede di essere contattato via WhatsApp. Con l’aiuto di alcuni amici, ricercatori di cybersecurity, abbiamo deciso di approfondire la questione per capire se sia una truffa di tipo smishing, a cosa punti e chi ci sia dietro. Di conseguenza, abbiamo seguito le istruzioni fornite nel messaggio, inserendo il numero nella rubrica e cominciando a interagire con la nostra controparte. I nostri messaggi sono quelli evidenziati in verde, mentre quelli bianchi appartengono al “figlio” (cliccando sulle immagini, queste si ingrandiscono).
Il profilo WhatsApp e il telefono caduto
Sul profilo WhatsApp del “figlio” appare una foto di una dimora storica. Una breve ricerca ha permesso di apprendere che l’immagine si riferisce alla Tenuta di Verzano Il Casale, ovviamente estraneo a tutta la vicenda. L’edificio, peraltro, è quello che appare nella serie tv Normal People della BBC.
A quel punto, abbiamo simulato di essere la “mamma”, confermando di aver registrato il nuovo numero. Dopo pochi minuti è arrivata una risposta in cui si chiede di eliminare il vecchio numero, in quanto il telefono cellulare è caduto in acqua e il “figlio” ha acquistato una nuova sim.
La richiesta di aiuto per pagare una bolletta, che diventa un laptop
La trappola è continuata con alcune domande generiche sul lavoro, a cui sono state fornite risposte altrettanto generiche, proseguite per un breve tempo. Improvvisamente, il tono dei messaggi cambia e veniamo avvisati che la nostra controparte è stressata. La sua app bancaria non funziona più e ci viene chiesto aiuto per pagare una bolletta. Alla nostra risposta positiva (la mamma è sempre la mamma) viene effettuata un’ulteriore esortazione: pagare con un bonifico istantaneo.
A proposito, vengono inviate le informazioni sul beneficiario e l’IBAN a cui effettuare il versamento. La bolletta, inoltre, si trasforma in un laptop che costa 2.449 euro, di cui ci vengono inviate le caratteristiche (in tedesco).
La nostra trappola e il logo della Polizia Locale
Nonostante la trasformazione, decidiamo di proseguire e tendiamo una trappola: con gli esperti di cybersecurity pubblichiamo sulla chat un teorico link riferito alla ricevuta di bonifico, che in realtà è un IPLogger. L’obiettivo, appurato con certezza che l’operazione sia una truffa, è cercare di rintracciare da dove i cyber criminali si colleghino a WhatsApp. Chi è dietro alla Scam, però, non abbocca e non apre il link, limitandosi a chiedere se il trasferimento sia stato effettuato.
Proviamo con un’esca diversa: scriviamo che “mamma” non sa far funzionare bene il telefono e quindi lo invitiamo a operare sul nostro conto, fornendogli i codici di accesso (falsi) e il link da cui aprire la pagina (sempre l’IPLogger). Lui/lei accetta, ma anche in questo caso non cade nel tranello e non apre il link.
A quel punto ha mangiato la foglia e ha capito che non siamo la “mamma”. Per farcelo capire, invia nella chat il logo di una Polizia locale e ci blocca.
Cosa abbiamo appreso dalla chat
Il nostro tentativo, nonostante non sia andato completamente a buon fine, ci ha permesso comunque di apprendere una serie di informazioni importanti. Innanzitutto, ogni messaggio del falso figlio era scritto in un italiano sintetico, ma corretto. Inoltre, la nostra controparte non è caduta nel tranello del link e ha capito abbastanza velocemente che non eravamo una “mamma”, bloccandoci. Ciò conferma che chi è dietro alla truffa è un soggetto o un gruppo ben organizzato e con capacità tecniche. Le uniche sbavature sono legate alla trasformazione della “bolletta” nella fattura per un laptop, presumibilmente a seguito dell’uso di un traduttore automatico, nell’invio di un’immagine con le caratteristiche del computer scritte in tedesco e nell’impiego del logo di una Polizia locale, invece che quella nazionale. Ciò porta a presumere con un elevato livello di probabilità, che gli attori del cybercrime dietro alla truffa non siano italiani. Tradizionalmente, questo tipo di frodi è caratteristico dei gruppi nigeriani, ma anche altri attori internazionali recentemente si sono affacciati nel panorama.