Promettono premi, ma vogliono i tuoi dati: la truffa dei punti Essenlunga

123rf

• Un SMS apparentemente ufficiale di Esselunga invita a riscattare punti imminenti, ma nasconde un attacco di phishing con spoofing.
• Cliccando il link si arriva a siti clone che chiedono dati o pagamenti e permettono prelievi non autorizzati e furto d'identità.
• Per difendersi controllare il dominio, non inserire credenziali, contattare la banca se necessario e segnalare alla Polizia Postale.

Un messaggio arriva sul nostro smartphone e, apparentemente, non c’è nulla di cui aver paura. Il mittente è l’Esselunga, il supermercato di fiducia: ci sono moltissimi punti che stanno per scadere e bisogna riscattarli subito. Il testo è curato, il mittente sembra quello giusto, la cifra è abbastanza alta da sembrare credibile.

Dietro però, c’è una truffa. Chi clicca sul link finisce su un sito clone costruito per sottrarre dati personali e bancari. Per dirla in termini tecnici è un attacco di phishing con tecniche di spoofing, pari a molte altre che abbiamo già visto (e che ancora, purtroppo, vedremo).

• L'SMS che ti inganna
• Come funziona la truffa?
• Come riconoscere la truffa Esselunga (e difendersi)

L’SMS che ti inganna

Come dicevamo, il messaggio arriva direttamente sul telefono, precisamente sotto forma di SMS e sembra, a prima vista, una comunicazione ufficiale di Esselunga. Il mittente compare come effettivamente come “Esselunga”, il testo è scritto in modo perlopiù corretto e il contenuto è chiarissimo:

Gentile Cliente, i 21.980 punti accumulati sulla sua Carta Fidaty stanno per scadere. La invitiamo a riscattarli subito per continuare a godere dei vantaggi riservati ai clienti Fidaty.

Insomma, davanti ai nostri occhi compare una cifra sufficientemente alta, giustificabilissima se si fanno regolarmente spese nella catena. Il tono è familiare, non eccessivamente allarmistico, perfettamente studiato per sembrare autentico. Il tutto funziona per la parolina subito, che fa leva sull’urgenza.

D’altronde, i punti Fidaty hanno un valore reale nel catalogo premi di Esselunga: con circa 7.600 punti si ottiene un ingresso alle QC Terme, con cifre simili si accede a Gardaland o all’Acquario di Genova. I 21.980 punti citati nel messaggio equivalgono quindi a premi multipli, tra elettrodomestici, trolley Samsonite ed esperienze premium.

Proprio la percezione di “ricchezza inattesa sul punto di svanire” rende il messaggio così efficace, spingendo l’utente ad agire prima ancora di ragionare.

Come funziona la truffa?

Proprio come avviene in altri casi (quello del Ministero della Salute o quella del rimborso su Amazon) il punto critico è il link. Cliccando, l’utente non arriva al sito ufficiale di Esselunga ma su una pagina clone, costruita per imitarne grafica, colori e struttura: come è accaduto e come accade ai siti web di Autostrade per L’Italia o di PagoPA, tantissimi elementi sono curati nel dettaglio e sono dunque perfetti per ingannare un utente frettoloso.

Una volta approdati sul sito clone, viene chiesto di inserire dati personali come nome, cognome, email e numero di telefono. In molti casi la truffa va oltre: per ricevere il premio viene richiesto un pagamento per le “spese di spedizione”, e in quel momento i truffatori ottengono accesso diretto ai dati bancari della vittima.

La tecnica alla base si chiama spoofing, ovvero la falsificazione dell’identità digitale di un mittente o di un sito. Nel caso degli SMS, è possibile mascherare il numero di origine facendo comparire sullo schermo un nome qualsiasi, come appunto “Esselunga”. Per quanto riguarda il sito, i criminali costruiscono domini molto simili a quello originale, con piccole variazioni difficili da cogliere di primo acchito.

Il link riportato nel messaggio può puntare a Esselunga.im, Esselunga.net, Esselunga.dw o similari, ma anche a domini completamente diversi: tutti sono comunque estranei alla catena. I rischi non si limitano al pagamento della falsa spedizione.

Chi inserisce le proprie credenziali su questi siti espone il conto a prelievi e acquisti non autorizzati. In alcune versioni della truffa vengono richiesti anche i codici OTP ricevuti via SMS, quelli usati per autorizzare le operazioni bancarie: fornirli significa dare ai truffatori carta bianca per operare sul conto in tempo reale.

Come riconoscere la truffa Esselunga (e difendersi)

Il primo elemento da controllare è sempre il dominio del link. Prima di cliccare, è sufficiente tenerlo premuto sullo schermo per vedere l’indirizzo completo: se non è esattamente esselunga.it, non è Esselunga. Anche una sola lettera diversa, un’estensione insolita o un suffisso aggiunto sono segnali sufficienti per cestinare il messaggio. Nel dubbio, meglio aprire il browser e digitare l’indirizzo manualmente, oppure controllare direttamente nell’app ufficiale.

Vale la pena osservare anche il testo con attenzione. I messaggi truffaldini contengono piccolissimi refusi che una comunicazione ufficiale non avrebbe mai: nel caso dell’SMS Esselunga, ad esempio, può comparire la parola “vantaagi” al posto di “vantaggi”. A questo si aggiunge il tono urgente, con inviti a “riscattare subito” o avvisi di scadenza imminente: le aziende reali non comunicano premi o promozioni con questo tipo di pressione.

Se si è già cliccato sul link ma non si sono inseriti dati, è sufficiente chiudere la pagina. Se invece sono state fornite informazioni personali o bancarie, bisogna agire subito: contattare la propria banca, bloccare la carta e monitorare i movimenti del conto.

È consigliabile anche cambiare le password degli account potenzialmente coinvolti e attivare l’autenticazione a due fattori. Infine, segnalare la truffa alla Polizia Postale aiuta a limitare la diffusione della campagna e a proteggere altri utenti.