Chi è già stato vittima di una frode online è spesso nel mirino di un secondo attacco. ESET analizza il meccanismo delle "sucker list" e della frode di recupero fondi.
Autore: Redazione SecurityOpenLab
Chi ha già subìto una truffa online rischia di essere un bersaglio privilegiato per un secondo attacco, costruito apposta per sfruttare la disperazione di chi sta cercando di recuperare quanto perso. È il meccanismo perverso del recovery scam, o frode di recupero, un fenomeno noto agli addetti ai lavori, ma sistematicamente sottovalutato dalle vittime, che proprio nel momento di massima vulnerabilità abbassano le difese. ESET lo ha analizzato in un approfondimento che ha l'obiettivo di renderne riconoscibili i segnali prima che sia troppo tardi.
È un modo inventato dal cybercrime per autoalimentare il proprio mercato con un sistema di riciclo che, purtroppo, funziona. Nel 2024, negli Stati Uniti sono stati registrati oltre 7.000 casi denunciati di recovery scam, per un bottino complessivo superiore ai 102 milioni di dollari. In sostanza, i cyber criminali acquisiscono dai threat actor quelle che vengono chiamate sucker list, ossia elenchi di persone che in passato sono già state vittime di una frode, oppure che hanno risposto a messaggi spam, completi di dati demografici dettagliati e informazioni sulla propensione della persona a cadere in determinati tipi di trappole.
A venderle sono gli autori della prima frode, che rivendono le informazioni raccolte per alimentarne ulteriori. Questo significa che la vittima di una truffa non viene semplicemente abbandonata dopo l'attacco; viene inserita in un circuito che la rende potenzialmente un bersaglio ricorrente, prendendo nuovamente di mira lo stesso profilo emotivo e psicologico che l'ha resa vulnerabile la prima volta. Chi ha perso denaro è già in uno stato di stress, disorientamento e urgenza, che lo porta ad abbassare il senso critico e a cadere in un secondo schema.
Il recovery scam segue uno schema collaudato. I truffatori si presentano come operatori di servizi specializzati nel recupero fondi, agenzie di protezione dei consumatori, funzionari governativi, forze dell'ordine o enti regolatori. Conoscono i dettagli del caso della vittima e promettono di intervenire per ottenere la restituzione del denaro, in cambio di un anticipo. In alcune varianti, sostengono addirittura di avere già recuperato i fondi e di dover solo completare le pratiche burocratiche per sbloccare il rimborso.
Nella variante più pericolosa dello schema, i truffatori richiedono le coordinate bancarie o i dettagli del wallet in criptovaluta della vittima, con la scusa di dover versare i fondi recuperati. Quelle informazioni vengono poi utilizzate per frodi finanziarie più gravi o per il furto diretto del conto. Sovente le vittime chiedono perché non sia possibile trattenere semplicemente la commissione dai fondi già recuperati: la risposta standard è che non è possibile e già questo dovrebbe costituire di per sé un segnale di allarme.
In questo modus operandi sono già presenti una serie di segnali ricorrenti da riconoscere. Il primo è il contatto non richiesto: i truffatori si fanno vivi spontaneamente, via email, messaggi social, SMS o telefono, senza che la vittima abbia fatto alcuna richiesta. Gli esperti sottolineano che essun ente governativo o forza dell'ordine contatta proattivamente le vittime di frode per offrire rimborsi. Il secondo è la promessa di recupero garantito: i truffatori affermano di avere già i fondi pronti per la restituzione, oppure garantiscono il recupero del denaro perso. Nessun servizio legittimo può dare una simile garanzia.
Il terzo è la richiesta di un pagamento anticipato, che può essere mascherata con vari nomi: retainer fee, processing fee, spese amministrative o tasse da versare. La logica è sempre la stessa: prima paghi, poi (forse) ricevi. Come in tutte le frodi che si rispettino, è poi onnipresente l’elemento della pressione temporale: i truffatori sostengono che i fondi sono disponibili solo per un periodo limitato, per forzare la vittima a decidere in fretta senza fare le verifiche del caso.
Infine, un dettaglio tecnico spesso trascurato è che le comunicazioni arrivano da indirizzi webmail generici, come Gmail, invece che da domini aziendali verificabili.
Gli esperti di ESET sottolineano che le misure di prevenzione non devono essere solo cognitive (riconoscere i segnali), ma anche comportamentali, e raccomandano di non condividere online i dettagli di una frode subita, perché i truffatori monitorano costantemente forum, social e gruppi di supporto alla ricerca di nuovi potenziali bersagli. La prima mossa da fare è segnalare l'episodio alle autorità competenti per consentire loro di tracciare l'evoluzione del fenomeno e di migliorare il supporto alle vittime.
Se il pagamento è stato effettuato tramite banca, è necessario contattare immediatamente l'istituto e bloccare le carte coinvolte. Se sono stati condivisi dati personali, occorre cambiare le password degli account pertinenti, attivare l'autenticazione a più fattori e attendersi tentativi di phishing futuri, che in questi casi tendono a essere particolarmente convincenti.