Ancora un altro truffa online in Italia, ancora una volta sulla base di una e-mail di phishing che sfrutta il nome e la fama di una grande catena di supermercati (totalmente estranea ai fatti). Stiamo parlando dell’ultima truffa “Sorpresa Esselunga“e la sorpresa, se non si sta molto attenti, è trovare il conto bancario vuoto.
Il meccanismo della truffa è quello ormai consolidato di sondaggio: se l’utente risponde a dieci domande, riceve un regalo di alto valore dall’azienda. In questo caso, il regalo sarebbe un set di contenitori ermetici Set da cucina da 36 pezzi, valore 399 euroTuttavia, è chiaro che niente di tutto questo è vero.
La truffa della sorpresa Esselunga
La truffa Sorpresa Esselunga Inizia con un e-mail di phishing che non contiene testo ma solo un’immagine con un link. L’indirizzo di provenienza, però, non ha nulla a che vedere con Esselunga, ma è quello di un ignaro utente Gmail il cui account è stato evidentemente hackerato.
Questo dettaglio da un lato permetterebbe già di archiviare l’email come frodema d’altra parte inganna il sistema anti-phishing caselle di posta e consente al messaggio di raggiungere la destinazione senza essere prima bloccato.
Se l’utente che riceve l’e-mail clicca sull’immagine, che lo invita a compilare un sondaggio di 2 minuti per vincere un set Tupperware da 36 pezzi, viene quindi indirizzato a un sito creato apposta per truffarlo.
Di nuovo, ilindirizzo Web non ha nulla a che vedere con quello vero dell’Esselunga. Il contenuto, invece, imita perfettamente il loghi e colori del marchio Italiano e contiene il solito messaggio per mettere in fretta l’utente meno attento e meno prudente: “Attenzione! Questa offerta di sondaggio scade oggi“.
Il sondaggio vero e proprio è composto da una dozzina di domande tutto sommato credibile, come “Con quale frequenza fai la spesa all’Esselunga?“o”Come valuteresti la varietà dei marchi presenti in Esselunga?“. Alcune delle domande contengono errori di battitura, come “Esselunga“, o frasi scritte in non perfetto italianoun segno di traduzione automatica da altre lingue.
Dopo la decima domanda il sito finge di controllare le risposte e poi mostra la schermata con il premio e, subito dopo, alcuni commenti scritti da profili falsiAlcuni commenti, tutti ovviamente a favore dell’iniziativa truffaldina, contengono foto del set di container.
A questo punto però avviene la vera truffa perché per ricevere il set omaggio, al costo dichiarato di 399,99 euro (ed è un prezzo credibile, per quel marchio), devi pagare 2 euro spese di spedizione.
Per rendere questa fase più credibile, però, i truffatori hanno scelto di non chiedere subito i dati della carta di pagamento: prima l’utente-vittima dovrà inserire l’indirizzo di spedizione, nome, cognome, numero di telefono. Tutti dati che i cybercriminali useranno poi per inviare più spam e altri tentativi di truffa.
Una volta fatto questo, il schermo veramente pericolosocioè quello in cui bisogna inserire i dati della carta per pagare i presunti 2 euro di spedizione: numero della carta, data di scadenza e, soprattutto, CVV.
Una volta inseriti questi dati, la carta è nelle mani dei criminali informatici che, nel giro di poco tempo, inizieranno ad utilizzarla per effettuare acquisti online, purché sulla carta (o sul conto ad essa collegato) ci sia denaro.
Come proteggersi dalle truffe online
Inutile dire che Esselunga è completamente estranea a questa truffa, così come a tutte le altre truffe simili che, nel corso degli anni, hanno cercato di sfruttarne il nome. Tuttavia, poiché la grafica e i loghi della catena di supermercati sono molto ben imitati dai truffatori, l’utente può cascarci se non sta molto attento.
Per questo motivo l’azienda ha messo online una pagina dove spiega Come riconoscere le truffe a tema Esselunga e il primo suggerimento che viene dato è di controllare l’indirizzo del sito su cui si finisce dopo aver cliccato sul messaggio iniziale. Questi, ad esempio, sono indirizzi sicuri:
www.esselunga.it
www.esselunga.it/approfondimento/frodi-online.html
Mentre questi, al contrario, sono siti sicuramente falsi:
[email protected]/KKPoBVBD7?/buonoregalo.html
www.esselunga-italia.it/KKPoBVBD7?/buonigratis.html
[email protected]/IT-it/tupperware.html
Lo stesso vale per l’indirizzo da cui proviene l’email, mentre è più difficile verificarne la provenienza in caso di messaggio sui social media o tramite app di messaggistica come WhatsApp.
A questi suggerimenti aggiungiamo sempre i nostri: nessuno regala nienteanche per evitare il rischio di fare un aiutare i truffatori rendendo credibili queste iniziative.
