Come negli anni precedenti, la frenesia dello shopping natalizio e degli acquisti su Internet ha ispirato i truffatori a escogitare nuovi metodi per rubare denaro e informazioni private. La truffa dei “pacchi in giacenza” via e-mail e sms è una delle più recenti tra le truffe nel periodo che precede il Natale 2022, e ha già mietuto decine di vittime. Anche il Servizio postale ha segnalato un’allarmante impennata del volume di traffico di e-mail e SMS associato a questo approccio di phishing nelle ultime settimane.
Chi ha già ricevuto un’e-mail o un SMS di Natale 2022, o chi è stato ingannato da uno di essi, sa fin troppo bene come funziona la più comune delle truffe natalizie. La truffa è semplice: in mezzo a centinaia di pacchi spediti a nome dell’utente, questi riceve un’e-mail o un messaggio di avvertimento sulla mancata consegna di un articolo immaginario di cui non vengono forniti né il codice né altri dati di riferimento. L’avviso che il regalo di Natale potrebbe non arrivare a casa è seguito da un ricatto.
È necessario effettuare nuovamente il login con le proprie credenziali prima di poter riprendere l’operazione bloccata. Quasi invariabilmente, il messaggio e-mail contiene mittenti apparentemente affidabili come Bartolini, FedEx o Poste Italiane. Allo stesso modo, le pagine collegate sembrano del tutto affidabili, poiché sono copie carbone degli originali. Secondo la polizia postale, è più probabile che l’e-mail fasulla venga aperta e letta su un telefono cellulare, mentre l’URL internet fraudolento è più facilmente individuabile quando si accede attraverso un computer. Quando si clicca sul link, viene chiesto di pagare una “tassa di rilascio della consegna”, spesso anche di soli 2 euro. Dopo di che, un timer inizia il conto alla rovescia e se l’utente non paga in tempo, il pacco viene rispedito al mittente.
Le e-mail o gli sms possono fornire una serie di motivi per la trattenuta, come il blocco dell’articolo alla dogana o l’assenza di alcune informazioni cruciali (che consentirebbero di terminare la consegna e quindi di sbloccare la trattenuta). Oppure, in alternativa, la necessità di monitorare lo stato di consegna di un prodotto acquistato utilizzando l’URL fornito.
Il destinatario dell’e-mail o del messaggio di testo deve concentrarsi interamente sul link incluso nella comunicazione. Molto raramente si vedrà un indirizzo e-mail che inizia con le lettere “https”, poiché il sito è privo di certificazione SSL (secure socket layer). Il servizio postale aggiunge: “L’approccio più semplice per proteggersi è anche il più ovvio: non cliccare sull’URL”. In realtà, basta che qualcuno clicchi sul link perché gli hacker abbiano accesso alle sue informazioni personali.