Il phishing su Esselunga
Il phishing su Esselunga

Dopo Amazon la truffa degli anniversari fasulli che viaggia su WhatsApp ha messo nel mirino Esselunga. Da ieri infatti circola sugli smartphone il falso avviso che promette la vincita di regali gratuiti per il 70° anniversario della famosa catena di supermercati.

Peccato che Esselunga i 70 anni non li abbia ancora compiuti – era stata fondata a Milano da Bernardo Caprotti nel 1957 – così come non aveva festeggiato nelle scorse settimane i 30 anni Amazon, che Jeff Bezos avviò a luglio del 1994.

Il phishing

Il nuovo tentativo di quello che in gergo si chiama phishing (le truffe informatiche con il logo contraffatto di un istituto di credito o di una società commerciale in cui si invita il destinatario a fornire dati riservati come il numero della carta di credito o del conto corrente) si basa su un meccanismo molto semplice.

Una volta aperto il messaggio su WhatsApp si viene invitati a giocare per la vincita del premio: una carta regalo-spesa a Esselunga di 100 euro. Compaiono nove pacchi con il nastro rosso e cliccando sopra, facendo tre tentativi si vince sempre, così i 7000 premi promessi diventano…infiniti.

La schermata che appare quando si clicca sul phishing

Per riscuotere il premio però, prima bisogna far partire la catena di Sant’Antonio dell’invio dello stesso messaggio a 5 gruppi o 20 utenti-amici su WhatsApp, e poi inserire i propri dati personali e sensibili. La merce ambita dai truffatori.

Smascherarli però non è difficile. Innanzitutto, se non tutti potrebbero sapere che non si festeggiano in questo week-end i 70 anni di Esselunga, basta guardare l’indirizzo da cui proviene il messaggio per aprire gli occhi: http://icpkwey.asia/lucky/it-esselunga-bx/?t=1616279298150.

Con quella parola, asia, che dovrebbe già mettere subito in allarme. E quindi evitare di aprire il link, partecipare al gioco o peggio ancora alimentare la catena dei messaggi e fornire dati personali.

 

Amazon

Un po’ lo stesso trucco applicato qualche settimana fa per Amazon, promettendo in questo caso scontistiche esagerate o addirittura regali sui prodotti venduti per il trentesimo, falso compleanno del colosso dell’e-commerce. Per ricevere sconti e regali però bisognava versare una somma irrisoria, e quindi comunicare i propri estremi di pagamento.

Sia Esselunga, sia Amazon, così come altre catene commerciali molto conosciute e con milioni di clienti, non sono nuove a essere utilizzate per raggiri via WhatsApp. Nei mesi scorsi, lanciando l’allarme sulle truffe che hanno visto durante la pandemia – con le raccolte fondi, i rimborsi Covid e le promozioni commerciali - un considerevole aumento, l’associazione Altroconsumo (www.altroconsumo.it) aveva denunciato false raccolte fondi, fake news e ovviamente il pishing.

L’Inps, per esempio, aveva messo in guardia i propri utenti dopo le segnalazioni di alcuni tentativi di phishing con email che invitavano a cliccare su un link per ottenere pagamenti o rimborsi da parte dell'Istituto di previdenza. Ma c’erano stati anche i falsi buoni spesa Ikea con la circolazione del messaggio, sempre tramite whatsapp "IKEA ha deciso di regalare 1000 Buoni del valore di € 250 per aiutare la ripresa dei consumi.Clicca qui per prenderne uno prima che finiscono: https://lKEA.S5S5.CLUB".

Un falso sito Internet, poi pubblicizzava la vendita, a prezzi irrisori, di articoli per bambini e neonati del brand "Primigi" mentre, visto l’aumento dei volumi di vendita dell’e-commerce, si era diffusa anche una nuova truffa online che utilizzava proprio l'escamotage di presunti pacchi in giacenza.

E con il messaggio "Si richiede di versare 2 euro per sbloccare un pacco in spedizione, inserendo tutti i dati della carta di credito" si rubavano soldi alle vittime del raggiro.

Ma la stessa Esselunga, prima della truffa del 70° anniversario, era già stata utilizzata l’anno scorso sempre con falsi buoni spesa. I truffatori, ricordano ad Altroconsumo, citando la pandemia e le difficoltà di moltissime persone, invitavano consumatori inconsapevoli a cliccare su un link fasullo per aggiudicarsi un presunto voucher gratuito della catena di supermercati del valore di 250 euro (se non addirittura 500), invitando anche a condividere il messaggio con tutti i contatti WhatsApp, attraverso messaggi come: "Esselunga sta distribuendo generi alimentari gratuiti del valore di 250 € per sostenere la nazione durante la pandemia da coronavirus".

In quel caso, la direzione aziendale di Esselunga, che aveva segnalato l'attività fraudolenta alla Polizia Postale di Milano, aveva avvertito tutti i consumatori a consultare esclusivamente il proprio sito e a far fede alle informazioni ufficiali riportate proprio da quest ultimo: eventuali concorsi o operazioni a premi vengono, infatti, diffusi esclusivamente attraverso i canali ufficiali dell'azienda. Per riconoscere se il messaggio ricevuto arrivi dai canali ufficiali della catena di supermercati, del resto, basta cliccare sul campo "Da" o "Mittente".

E si possono visualizzare i dettagli dell’indirizzo di posta elettronica, che deve sempre corrispondere a "esselunga.it" o "newsletter.esselunga.it". Se il dominio è differente da "esselunga.it" o da "newsletter.esselunga.it", la mail è da considerarsi ingannevole.

Ovvero è inviata dai soliti truffatori che sono all’opera anche in questo week-end.

I consigli anti truffa

Il consigli antitruffa.
1) Prestate particolare attenzione alla fonte: verificate sui siti ufficiali degli enti o delle aziende citate, e cercate di capire se vi è una corrispondenza tra quanto viene comunicato e quanto dichiarano gli interessati.
2) Non cliccate mai su link e allegati trasmessi via messaggi o email se non siete assolutamente certi della fonte da cui lo ricevete.
3) Non fate circolare messaggi ambigui con le catene di Sant’Antonio, contribuireste alla diffusione della truffa.
4) Controllate il mittente che vi ha inviato il falso messaggio e avvertitelo.
5) Ricordatevi che esistono numerosi siti con nomi molto simili a quelli di siti famosi, istituzionali o di aziende e banche (per esempio: facebok.com - con una O sola - o ancagenerali.it, senza la B iniziale).
6) Imparate a interpretare gli indirizzi Internet. La parte dell’indirizzo che identifica il proprietario del sito è quella subito prima del .com (o .it, . org etc). Per esempio: www.esselunga.it è un sito di proprietà di Esselunga mentre www.esselunga.abc123.it apparterrebbe al proprietario del sito abc123.
7) Qualora siate caduti nella trappola del truffatore, comunicato dati personali o estremi bancari, avvisate subito la vostra banca e/o bloccate le carte di debito o di credito. E fate denuncia alla Polizia postale (www.commissariatodips.it).