Proprio come per ogni grande evento sportivo che affascina le folle di tutto il mondo, lo spettacolo di calcio che prenderà il via in Russia tra una settimana presenterà una miriade di opportunità per tutti i tipi di frodi su Internet. I truffatori infatti non aspettavano altro, nella speranza di sfruttare al massimo la popolarità dell’evento calcistico più importante del mondo; tenteranno di impossessarsi dei dati personali degli appassionati di football, solitamente concentrandosi su quelli della carta di credito o le credenziali di accesso ai servizi online, utilizzando vari metodi.
Ecco qual sono, secondo gli esperti di ESET, i principali tentativi di truffa in cui si potrebbe cadere:
Uno dei metodi più comuni è quello di diffondere su larga scala delle presunte promozioni che coinvolgono “beni” legati alla manifestazione come: biglietti economici, pacchetti di ospitalità comprensivi di biglietti, alloggi, lotterie, voli per le città che ospitano le partite, solo per citarne alcuni. Queste “occasioni” vengono tipicamente pubblicizzate tramite e-mail fraudolente o post e messaggi sui social media che, come è loro abitudine, giocano sulle emozioni delle persone. Dopo tutto, a chi non piace fare un buon affare?
Naturalmente, dietro c’è un inganno. Una volta che le vittime sono state indotte a credere ai contenuti dei messaggi spam e cliccano sul link presente nell’email, vengono dirottate su un sito di phishing che solitamente imita in maniera convincente il logo della Coppa del Mondo o addirittura si propone come vero e proprio duplicato del sito originale. Una volta inseriti i dati nei moduli fasulli credendo di pagare per dei biglietti legittimi, le vittime forniscono pieno accesso ai propri servizi, dando così l’opportunità ai criminali di svuotargli i conti bancari.
I truffatori possono spacciarsi anche per la FIFA, i suoi sponsor o per altre aziende che ne finanziano determinati eventi come Visa, Adidas o Coca-Cola, per inviare messaggi di congratulazioni relativi a fantomatiche vincite a false lotterie. Così per ritirare il proprio “premio” verrà richiesto alla vittima di introdurre i propri dati personali e/o gli verrà richiesto un piccolo pagamento.
Atri tentativi di truffa possono concentrarsi sui visti di viaggio necessari per recarsi in Russia, dove i criminali impersonano le autorità del paese ospitante i Mondiali e dove vengono richieste informazioni sensibili alle potenziali vittime.
Persino a chi non intende seguire la Coppa del Mondo potrebbero arrivare delle email o dei messaggi sui social media che contengono un allegato o un link pericoloso nascosti dietro a finti giochi, video dei gol delle partite, gossip sui giocatori più rappresentativi o altri contenuti a sfondo calcistico. Poi, con l’aiuto di un malware bancario collegato a questi contenuti ingannevoli, i truffatori saranno in grado di estrarre le informazioni finanziarie delle vittime.
In un’altra situazione tipica può essere offerta alle vittime la visione gratuita in streaming delle partite su un sito compromesso. Una volta connessi alla pagina molto probabilmente verrà richiesta l’installazione di un programma che sembra legittimo (come Flash Player), ma che in realtà cela un malware in grado di consentire a un hacker di accedere al sistema della vittima.
Cartellino rosso per le truffe
La FIFA ha avvisato che i biglietti per le partite possono essere acquistati esclusivamente sul sito ufficiale e che le agenzie a cui è consentito utilizzare il marchio della coppa del mondo per sponsorizzare offerte su sistemazioni vicine agli stadi sono solo quelle autorizzate. In questi ultimi giorni sono state identificate e rimosse innumerevoli truffe sulla vendita online dei biglietti, ma purtroppo ne circolano ancora molte. Gli esperti di ESET ricordano inoltre che qualsiasi titolo comprato al di fuori del canale ufficiale non garantisce l’ingresso agli stadi.
Questa è una delle classiche situazioni in cui applicare le difese online di base. Ciò include essere astuti nel riconoscere i messaggi di phishing, che si basano su tecniche che sono state utilizzate per diversi decenni e che rimangono tuttavia alcuni dei metodi più efficaci per le frodi informatiche.
Non dare per scontato che un sito Web sia legittimo, solo perché ha quel lucchetto verde confortante (cioè il segno HTTP Secure / HTTPS) alla sinistra dell’URL. Una connessione sicura e un sito sicuro sono due cose diverse. Anche i truffatori stanno utilizzando sempre più spesso l’HTTPS. Allo stesso modo il semplice fatto che un sito compaia in una ricerca su Google non significa che sia autentico, i criminali possono aumentare il posizionamento dei loro siti attraverso strategie di ottimizzazione sui motori di ricerca (SEO) o annunci a pagamento. Utilizzare solo canali affidabili per ricevere gli ultimi aggiornamenti sulle squadre e sui giocatori preferiti.
Inoltre non bisogna mai dare per scontato che una rete Wi-Fi pubblica sia legittima, i criminali possono infatti utilizzare facilmente una connessione Wi-Fi non criptata per intercettare il traffico e raccogliere le informazioni sensibili che vengono digitate, senza escludere la possibilità che possano iniettare malware nel traffico dati. Evitare l’uso di servizi bancari online o effettuare acquisti personali su connessioni non sicure e/o utilizzare una rete privata virtuale affidabile (VPN) per crittografare il traffico tra il dispositivo e Internet.