Oramai considerata la mia attività, ho l'abitudine di essere decisamente sospettoso quando ricevo email, telefonate, messaggi da persone che non conosco, che promuovono servizi o richiedono comunque una interazione.
In questo post ti racconto una vera e propria truffa della quale sono stato vittima, o meglio, ci hanno provato ;-)
Lo faccio per sottolineare ancora una volta come sia importante cercare di andare a fondo alle cose, non avere fretta, magari confrontarsi con qualcuno più esperto e per cercare di capire quali tecniche vengono utilizzate, affinché ci si possa difendere.
Questo post è disponibile per tutti. Se vuoi entrare a far parte della community di Cronache Digitali, sei il benvenuto. Qui ti spiego cos'è Cronache Digitali.
Per iscriverti invece subito, è sufficiente creare un account gratuito cliccando qui: serve solo la tua email, niente password. Veloce e sicuro!
L'inizio. Cos'è Google Local?
Google Local fa parte dei servizi di Google My Business e permette ad un utente titolare di una azienda, di creare una scheda della propria attività su Google, con tanto di mappa, descrizione, fotografie, indicazioni, indirizzo sito web, etc.
Tutti abbiamo utilizzato Google Local magari senza saperlo: ogni volta che facciamo una ricerca su Google, magari per un ristorante, i risultati che appaiono per primi sono quelli proprio relativi alle schede create dai proprietari delle attività stesse.
Quelli che vedete qui sopra sono i risultati di una banale ricerca su Google "ristorante roma": ogni attività ha la propria "scheda" che riporta - come nel caso del ristorante Roma in Bocca (non me ne vogliano gli altri, ho cliccato a caso, e non lo conosco 😅 ) - una serie di informazioni utili.
Capite quindi che è un servizio di marketing molto potente per farsi trovare da potenziali clienti.
Ora, senza entrare nei dettagli, quando un utente crea una nuova scheda indicandone il nome e l'indirizzo, Google deve accertarsi che la persona sia il titolare di questa attività (o comunque che ne detenga l'autorizzazione a pubblicizzarla) perché altrimenti chiunque potrebbe creare attività fantasma oppure intestarsi attività di altri.
Questo è un passaggio molto importante ed è alla base di una serie di truffe come quella che mi è capitata: una volta creata la scheda su Google MyBusiness, Google invia tramite posta all'indirizzo indicato, una lettera contenente un codice di autorizzazione.
Solo dopo che il titolare ha ricevuto la lettera, può inserire il codice contenuto all'interno per confermare così a Google di esserne il titolare. Il presupposto ovviamente è che solo il titolare o delegato possa ricevere la posta all'indirizzo indicato.
Come funziona la truffa.
Non è la prima volta che mi capita, ma in questo caso sono andato a fondo per potervi raccontare come funziona.
Premessa: con il mio account Google gestisco un locale di famiglia che è presente su Google. Per questo mi hanno chiamato ;-) Ovviamente a suo tempo ho fatto anche io la procedura di verifica dell'attività.
Tutto inizia con una telefonata: i dati vengono ovviamente presi dalla scheda su Google, poi qualcuno inizia le telefonate.
Ah, la telefonata l'ho registrata, quindi vi riporto qui un estratto trascritto.
L'obiettivo della truffa.
L'obiettivo è quello di far pagare una cifra (nel mio caso 266€) affinché la mia attività sia verificata e nessuno possa modificarne le informazioni oppure prendere possesso dell'account.
Come già detto sopra, nel mio caso (ma di molti altri immagino) l'attività è già stata verificata, ma gli operatori (due nel mio caso) utilizzano una tecnica che può trarre in inganno utenti meno attenti.
Vediamo quindi le varie fasi come se si trattasse di un attacco informatico... anche perché le similitudini sono parecchie.
Fase 1: la raccolta delle informazioni.
L'attaccante raccoglie le informazioni direttamente da Google, sulle schede delle potenziali vittime:
Ho cancellato i dati per non fare... pubblicità, ma ovviamente sono pubblici su Google ;-)
Fase 2: il contatto.
Il contatto avviene quasi sempre via telefono perché ci sono più possibilità per l'attaccante di riuscire ad ottenere una risposta, in quanto i numeri pubblicizzati sono lì apposta per ricevere chiamate da potenziali clienti.
In una seconda fase avviene un contatto anche via email, se sollecitato dalla vittima (vedi dopo).
Fase 3: l'aggancio.
Qui entrano in gioco le capacità dell'operatore di persuadere la vittima. La telefonata inizia con l'attaccante che si presenta con un generico "Partner Google" e fornendo il suo nome e cognome (veri? ahah!).
Poi passa subito al nocciolo della questione: inizia prima di tutto a fornire i dati pubblici presenti sulla scheda dell'attività, dando così l'impressione di essere preparato.
"La sua attività non è verificata da Google e quindi chiunque può cambiare le informazioni presenti nella scheda, recandole così un grave danno".
Ecco infine il passaggio che rafforza questo concetto:
"Ha un computer sotto mano? Provi ad andare sulla sua pagina e troverà in fondo due link, uno per modificare i suoi dati, uno per certificare l'attività."
"Se qualcuno richiede una modifica, ad esempio cambiandone il nome, Google dopo una prima analisi applicherà il cambiamento"
Qui il "problema" è che tali link sono presenti su tutte le schede attività di Google! (in realtà il link "Sei il proprietario dei quest'attività?" compare in funzione di come siete loggati sul vostro account Google)
Con questo escamotage l'attaccante ha la possibilità di mettere un dubbio nel suo interlocutore e rafforzare quindi la sua posizione.
Da notare che anche io quando ho visto il link mi è sorto il dubbio: in realtà se poi provate a cliccare su "Sei il proprietario di questa attività?" il sistema vi dice che è già stata verificata da qualcun altro...
A questo punto l'operatore, che ha in qualche modo rafforzato la fiducia della vittima, espone velocemente la soluzione: saranno loro ad inviare una busta con il codice via posta, per poi certificare e verificare la proprietà dell'attività. Il tutto alla "modica" cifra di 266€.
Fase 4: la manipolazione.
La telefonata quindi passa ad una gentile signorina, che si presenta anche lei con nome e cognome che ha il compito di rafforzare i concetti espressi dal collega e dipanare ogni eventuale dubbio della vittima, nonché di concordare la consegna del "pacco" (nel vero senso della parola).
Alla mia richiesta di informazioni più dettagliate, ho chiesto di inviarmi una email, che è arrivata puntuale pochi minuti dopo la chiusura della telefonata:
L'email proviene da un indirizzo Gmail, utilizza la palette di colori Google, riporta "Certificazioni" senza alcun riferimento, ma è comunque creata per trarre in inganno la vittima, credendo di parlare effettivamente con qualcuno autorizzato da Google.
Anche la sezione relativa ai pagamenti è ovviamente molto chiara...:
La società riconducibile all'attività - da quanto si vede nella email - è un call center (così è registrata) in Italia.
Ma è una vera truffa?
Dispositivo dell'art. 640 Codice Penale
Chiunque, con artifizi o raggiri(1), inducendo taluno in errore(2), procura a sé o ad altri un ingiusto profitto con altrui danno(3), è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032(4)(5).
Direi che i presupposti ci sono: l'attività di registrazione di una pagina Google è gestita direttamente da Google e non costa nulla come chiaramente spiegato da Google stessa qui.
Cercare di qualcuno nel convincerlo che vada fatta (anche se non ce n'è bisogno) a pagamento è un reato.
Conclusione.
Massima attenzione alle richieste che pervengono da persone che non conoscete, anche se sembrano dettagliate.
Verificate sempre e confrontatevi prima con qualcuno esperto del settore e richiedete referenze e contatti per verificare l'identità dell'interlocutore.
Sono, alla fine, i principi base di una sana cybersecurity ;-)
Se ti è piaciuto questo post e pensi possa essere utile condividilo e se vuoi rimanere in contatto, iscriviti a Cronache Digitali cliccando qui.