Nei mesi passati abbiamo esaminato tutta una serie di frodi veicolate attraverso Facebook finalizzate a portare gli utenti a versare denaro ai criminali credendo di investire in azioni di importanti compagnie petrolifere/energetiche, piuttosto che nell’acquisto di cryptovaluta su falsi portali dedicati, o ad acquistare beni tecnologici e attrezzatura sportiva di qualità a prezzi irrisori.
Mentre i falsi acquisti hanno generalmente un impatto limitato sul singolo, trattandosi di pagamenti di piccole somme effettivamente realizzati attraverso piattaforme di pagamento lecite e non di abuso delle carte di credito, per gli investimenti il discorso è bene diverso trattandosi di cifre rilevanti spostate attraverso bonifici bancari o carta di credito.
Le frodi esaminate venivano prevalentemente veicolate attraverso annunci pubblicitari pubblicati da pagine Facebook che non avevano nulla di attinente alla tematica/iniziativa pubblicizzata e apparentemente vi è stato un calo nella loro comparsa nelle bacheche degli utenti.
Sembrerebbe tuttavia star prendendo piede una metodica, non certo nuova, che porta alla comparsa nei gruppi Facebook di post con link ad articoli in cui viene descritto il mirabolante arricchimento di una persona, precedentemente caduta in disgrazia, usualmente licenziata dal precedente impiego, attraverso l’adesione a piattaforme di investimento in cryptovaluta.
L’immagine sottostante ci mostra a titolo esemplificativo l’anteprima di un articolo postato in un gruppo dedicato ad attività outdoor.
Il post non ha nessuna attinenza con le tematiche trattate nel gruppo e talvolta moderatori ed amministratori dei gruppi non intervengono cancellandoli probabilmente reputandoli troppo sciocchi per fare vittime, pur riconoscendone la natura malevola. I profili che pubblicano i post sono di utenti effettivamente iscritti a gruppi e pagine, ma si tratta di profili presumibilmente compromessi.
Il link del post in esempio porta ad un articolo dell’inesistente testata online “Aquino oggi”
LINK MALEVOLO: https[:]//lakshetea[.]com/frtaysd/?s=Aquino&zoifj=8848&fbclid=IwAR34MHwMoR06mrp_3fkIKYeUU4EgkfjE8ESL4MBxTCRevjW0q8WpqEVMkWQ
Qui vediamo un cambio di strategia da parte dei criminali che smettono di usare false pagine di testate giornalistiche esistenti, come avvenuto in passato con le false pagine di “Repubblica”. Si può ipotizzare che questa strategia permetta loro di fronteggiare azioni di contrasto meno efficaci dal momento che non si configura l’improprio e illecito uso di brand, marchi e loghi.
L’articolo riporta la falsa cronaca di un’intervista, mai verificatasi, della protagonista della vicenda da parte del conduttore televisivo Massimiliano Ossini nell’ambito della trasmissione RAI Unomattina, in cui la stessa racconta come, quanto e con che facilità si è arricchita attraverso la piattaforma del Progetto Quantistico.
La pagina presenta immagini tratte effettivamente dalla trasmissione, ma in cui venivano trattate differenti tematiche, del tutto lecite.
Ogni link presente nella pagina, da quelli celati sotto al menù nella parte alta della pagina a quelli celati sotto le immagini di anteprima di ulteriori articoli poste nella parte destra della pagina, portano al sito web della falsa piattaforma di investimento al seguente indirizzo
LINK MALEVOLO: https[:]//moderntech[.]today/italian-prime-project/
Qui la finta piattaforma ci propone immagini di persone arricchitesi attraverso di essa, messaggi motivazionali e ci chiede i nostri dati di contatto.
Dopo averli inseriti ed aver atteso qualche secondo atterriamo su un ulteriore sito, dove veniamo ringraziati per l’iscrizione alla piattaforma ed informati che riceveremo la chiamata da parte di un operatore, il quale ipotizziamo ci convincerà della bontà dell’iniziativa finanziaria e ci fornirà i dati per la movimentazione del denaro.
Due parole sui domini rilevati dal team D3Lab in questa veloce analisi:
lakshetea[.]com: ospita il finto articolo di “Aquino Oggi”, la registrazione del dominio risale al 2021 e sino al 2022, come rilevabile da WebArchive, trattava del Lakshet Tea. Attualmente la home page sembrerebbe riconducibile ad una fantomatica agenzia di viaggi e turismo “Esperienze Viaggi” sita ad un improbabile indirizzo romano.
Ricercando su Google brandelli di testo tratti dalla pagina “Chi siamo” scopriamo che lo stesso testo era presente su un altro sito, url che al momento ci risponde 404
moderntech.today: ospita il falso portale di investimenti dove ci vengono chiesti i dati di contatto, trattasi di dominio registrato il 17 febbraio scorso.
Domain name: moderntech.today
Registry Domain ID: 29b84633ffdc4bb4b1e8d954ec020581-DONUTS
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 0001-01-01T00:00:00.00Z
Creation Date: 2024-02-17T23:34:55.69Z
La home page ci mostra il presunto sito di un centro estetico/benessere/spa, anch’esso sito a Roma in altro improbabile indirizzo.
affiliatelibrary.pro: ospita la pagina di ringraziamento e l’indicazione che verremo richiamati, in questo caso il dominio risale allo scorso 6 novembre e la home page ci mostra solo un box di login.
Conclusioni
Anche in questo caso determinare che si tratta di una frode è abbastanza semplice, alla portata di qualsiasi utente. Il processo più “tech” è stata l’estrazione dei dati di whois, ma basta visualizzare le home page dei siti coinvolti per rilevare che non hanno alcuna attinenza con investimenti, essendo uno riferito ad un’agenzia turistica e l’altro ad un centro estetico, pagine che comunque presentano evidenti incongruenze, quali l’inesistente indirizzo e le recensioni di soli utenti stranieri.
Quindi per evitare di cadere vittima delle frodi:
Mentre per evitare di farci rubare l’account social attiviamo l’autenticazione a due fattori.