I popolari servizi bancari semplificano le richieste di denaro sia per gli utenti che per i truffatori.
Il team Avast ha recentemente ricevuto un’e-mail che è stata segnalata da un utente esperto come potenziale tentativo di spear phishing. L’e-mail è stata presumibilmente inviata da PayPal e lo scopo era una richiesta per il destinatario di inviare denaro.
L’email sembrava sicuramente sospetta, perché in questo caso era totalmente inaspettata. Tuttavia, a un esame più attento, si è rivelata un’e-mail legittima da PayPal. Questo ha attirato l’interesse del ricercatore, che ha riattivato il suo vecchio account per vedere da dove potesse provenire.
Nella parte superiore della pagina, qualcosa ha immediatamente attirato la sua attenzione: il semplice pulsante “Richiedi”. Cliccandolo si è aperta una guida che informa della possibilità di inviare una richiesta di pagamento a un massimo di 20 persone contemporaneamente. Il ricercatore quindi ha provato e ha chiesto ad un suo collega di inviargli $ 500, ma per assicurarsi che non lo facesse effettivamente, il ricercatore ha incluso di proposito un messaggio strano e sospetto.
Una volta elaborata la richiesta, è bastato fare clic sul pulsante “Richiedi un pagamento” e il destinatario ha ricevuto la richiesta attraverso una notifica e-mail.
Oltre ad essere user-friendly, ciò che rende questa funzionalità ancora più conveniente nel bene e nel male è il fatto che i destinatari della richiesta non devono essere utenti PayPal trasferire la somma. Tutto ciò che è richiesto loro è di avere una carta di credito valida e fondi sufficienti su di essa. Nel caso in cui un destinatario sia lento con il pagamento, è possibile inviare un sollecito amichevole con un solo clic, che comporterà l’invio di un altro promemoria generato automaticamente.
È importante sottolineare che PayPal non è l’unico servizio che si presta a questo tipo di frode. Ad esempio, anche attraverso l’app Revolut è possibile richiedere denaro ad una terza persona. In questo caso le cose sono abbastanza simili, ma con una differenza significativa: Revolut non invierà alcun messaggio per conto del richiedente ma fornirà un link che il richiedente stesso dovrà gestire in prima persona, opzione leggermente migliore dal punto di vista della sicurezza.
Anche il servizio Venmo ha una feature simile: gli utenti infatti non devono verificare la propria identità per poter richiedere denaro fino a $ 299 e ciò potrebbe rendere più semplice per i truffatori nascondere la loro vera identità.
Allora perché approfondire questo argomento?
PayPal, Revolut, Venmo e probabilmente molti altri servizi di questo genere hanno sicuramente creato una funzionalità interessante e facile da usare per semplificare la vita degli utenti. Ma così facendo, hanno anche creato accidentalmente una funzione per consentire agli aggressori di confondere le persone facendole pagare per cose di cui non hanno idea. Il messaggio creato per questo esperimento non è ovviamente convincente, ma un abile strategia di ingegneria sociale potrebbe scrivere un messaggio elaborato e credibile che potrebbe riguardare, ad esempio, tasse dovute, conti non pagati e così via.
Come restare al sicuro durante l’invio e la richiesta di fondi a terze persone
La conclusione è semplice: non inviare denaro a nessuno a meno che tu non sia assolutamente sicuro dell’identità del destinatario e del motivo per cui hai ricevuto la richiesta. Eventuali pagamenti dovuti possono essere verificati con la parte appropriata utilizzando un altro canale di comunicazione, come ad esempio il telefono.
Lascia un commento