Con l’arrivo dell’autunno e l’inizio della stagione delle pulizie all’aperto, i proprietari di case in tutto il paese sono bombardati da e-mail. Molti sembrano abbastanza innocui, solo una notifica che dice che hai vinto qualcosa per il tuo giardino. Un esempio recente ha affermato che hai vinto un grande carrello da giardino, un oggetto di utilità che molte persone acquistano nei negozi di ferramenta in questo periodo dell’anno. Sembrava provenire da Home Depot , marchiato con il loro logo, e l’argomento era festoso: “Il tuo dolcetto è a portata di clic!” Eppure, quello che sembrava un premio gratuito era in realtà uno schema di phishing accuratamente congegnato.
Dietro l’appello stagionale c’era l’urgenza, poiché l’e-mail avvertiva che l’offerta sarebbe scaduta in pochi minuti e che bisognava “iniziare da qui” per richiedere il premio. Una volta cliccato, la storia è diventata più profonda. Sei stato reindirizzato a pagine web che ti chiedevano di inserire i tuoi dati personali, partecipare a un sondaggio online, quindi inserire il tuo indirizzo di casa e infine ti sono state chieste informazioni di pagamento con il pretesto di una “piccola commissione di elaborazione”. A quel punto, i tuoi dati erano probabilmente stati consegnati agli aggressori.
In che modo la truffa è stata costruita per sembrare legittima
Ciò che rende questa truffa particolarmente pericolosa è quanto apparisse realistica. L’e-mail è stata realizzata a tema Halloween, attingendo alla mentalità stagionale della pulizia e della decorazione del giardino. La promessa di un carrello di scarico gratuito era plausibile e tempestiva. Quando le persone pensano di trasportare foglie o rimodellare il loro giardino, l’esca ha senso.
I ricercatori hanno trovato diversi omaggi che hanno rivelato la natura falsa. Ad esempio, l’indirizzo email del mittente terminava con un dominio apparentemente appartenente a una scuola superiore di Los Angeles, e non Home Depot . Il contenuto del messaggio includeva caratteri di controllo nascosti e un’immagine di tracciamento a pixel singolo per confermare che l’e-mail era stata aperta. L’obiettivo era chiaro: farlo sembrare abbastanza reale da aggirare i filtri antispam e attirare i destinatari a coinvolgere.
Una volta che il destinatario dell’e-mail ha fatto clic sull’immagine o sul link “Inizia da qui”, è stato indirizzato lungo un funnel in più fasi. In primo luogo, un sondaggio o un questionario poneva domande di base sull’età o sul sesso. Poi una pagina chiedeva l’indirizzo di consegna. Alla fine è arrivata la richiesta di pagamento mascherata da commissione di elaborazione. A quel punto, le vittime potrebbero aver avuto la sensazione di essersi impegnate troppo per tornare indietro. Il vero risultato di ciò è il furto e/o la vendita delle loro informazioni personali e finanziarie.
In superficie, sembra un omaggio di un carrello da giardino andato storto. Ma le implicazioni vanno più in profondità. Quando i truffatori raccolgono informazioni personali come nome, indirizzo, carta di pagamento ed e-mail, ottengono strumenti che possono riutilizzare. Tali dati potrebbero essere venduti o riutilizzati per inviare ulteriori attacchi di phishing, commettere furti di identità o accedere ad altri account di tua proprietà.
Poiché la truffa è impostata come un funnel a più fasi, non è sempre immediatamente ovvio chi c’è dietro o come i dati verranno sfruttati in seguito. Le vittime potrebbero pensare di aver semplicemente sprecato qualche minuto, ma la vera perdita potrebbe arrivare mesi dopo, quando un account viene compromesso o compaiono acquisti fraudolenti.
Per le aziende, queste truffe hanno un impatto sul marchio. Se vedi un’offerta che sembra provenire da , o da Home Depot qualsiasi altro importante rivenditore, e si scopre che è falsa, la fiducia dei clienti si erode. I rivenditori devono collaborare con le società di sicurezza e i consumatori devono rimanere vigili per proteggere sia i loro dati che la loro fiducia nei marchi.
Segnali di avvertimento che potresti aver perso
C’erano diversi campanelli d’allarme, alcuni sottili, altri più visibili. Il dominio di posta elettronica del mittente era grande, in quanto non corrispondeva all’azienda che presumibilmente rappresentava. Le immagini e i collegamenti erano completamente cliccabili, impostati per reindirizzare attraverso siti Web compromessi prima di raggiungere la pagina finale. Nel messaggio sono stati utilizzati caratteri di controllo nascosti per evitare il rilevamento da parte dei filtri antispam. Tutto ciò ha segnalato una campagna di phishing ben organizzata.
Un altro elemento difficile è stata l’urgenza e l’esclusività: “Nessun trucco, solo clic” e “Il tuo dolcetto è a portata di clic”. Queste frasi spingevano l’utente ad agire immediatamente. Quando i messaggi dicono che l’offerta è valida solo per pochi minuti, di solito stanno cercando di interrompere una riflessione ragionevole e farti agire prima di verificare. Nel momento in cui qualcuno si rende conto dell’errore, i dati sono spesso spariti.
Cosa fare se si incontra un’offerta del genere
Se ricevi un’e-mail che offre un “premio gratuito” da un marchio di fiducia, fai prima una pausa. Non fare clic subito. Invece, verifica l’offerta direttamente con l’azienda, visita il loro sito ufficiale o contatta l’assistenza. Controlla l’indirizzo email del mittente: se non termina con il dominio ufficiale dell’azienda (ad esempio, non termina con “@homedepot.com”), è probabile che si tratti di una truffa.
Se hai fatto clic sul link, non ignorarlo. Controlla i tuoi account per verificare la presenza di attività sospette. Se hai inserito dati bancari o di pagamento, contatta immediatamente la tua banca. Prendi in considerazione la possibilità di modificare le password, abilitare l’autenticazione a due fattori e scansionare il tuo dispositivo con un software di sicurezza. Questi passaggi possono aiutare a limitare i danni e prevenire l’uso improprio dei dati.
È anche saggio trattare le offerte stagionali con ulteriore scetticismo. Le promozioni legate alle festività o ai principali periodi di shopping spesso attirano campagne di phishing. Quando un affare sembra troppo bello per essere vero, come un premio gratuito, basta un clic, di solito lo è.
Se ricevi un’e-mail che ti informa che hai vinto un premio importante, soprattutto da un rivenditore con cui fai acquisti, non dare per scontato che sia legittimo. Fai un respiro, controlla i dettagli del mittente e chiedi se il marchio sta effettivamente organizzando un concorso del genere. Evita di fare clic sui collegamenti nelle e-mail inaspettate. Considera se sei andato sul sito Web del marchio o ti sei iscritto a un tale omaggio.
La truffa dell’omaggio del carrello da giardino ci ricorda che gli attacchi di phishing si stanno evolvendo. Prendono in prestito l’aspetto e l’atmosfera di marchi reali, attingono a temi stagionali e creano urgenza nel loro linguaggio. Quello che sembra un piacere può facilmente trasformarsi in guai.
Mantieni la prudenza, mantieni aggiornato il tuo software, abilita protezioni aggiuntive come l’autenticazione a due fattori e tratta con scetticismo qualsiasi offerta gratuita che richieda dettagli personali o pagamento. Alla fine, il tuo premio migliore è la consapevolezza e l’evitare di essere ingannato da quella che sembra una scorciatoia per qualcosa per niente.