A cura di Tim Kromphardt, Genina Po, Hannah Rapetti e Selena Larson, ricercatori di Proofpoint
Per anni, le truffe definite Pig Butcher hanno sottratto alle vittime miliardi di dollari. Si tratta di processi più complessi rispetto alle solite attività criminali, in cui i truffatori coinvolgono spesso le vittime in lunghe conversazioni, per costruire un rapporto di fiducia e indirizzarle poi verso una falsa piattaforma di investimento in criptovalute. Una volta che il piccolo investimento iniziale inizia a trasformarsi in un profitto apparentemente grande (ma fasullo), i truffatori spingono la vittima a investire somme più elevate. E quando il denaro della vittima lascia il suo portafoglio digitale, i guadagni non realizzati vengono sostituiti dalla triste consapevolezza di aver perso tutto.
Sebbene siano redditizie per i pig butcher, queste truffe richiedono molto tempo e offrono numerose opportunità alla vittima di rendersi conto che qualcosa non sta funzionando. Affinché questo modello di business abbia successo, devono rivolgersi a utenti che possono “permettersi” di perdere denaro. Questo lascia un ampio mercato di vittime finanziariamente insicure – più numerose, ma che possono fornire importi inferiori – virtualmente non sfruttato. Recentemente, tuttavia, Proofpoint ha osservato questi stessi malintenzionati lanciare una nuova iniziativa per attingere a questo mercato: la truffa del lavoro.
Lo scorso giugno, il Federal Bureau of Investigation statunitense ha pubblicato un annuncio di servizio pubblico per mettere in guardia da queste truffe legate al mondo del lavoro che hanno origine su dispositivi mobili.
Le potenziali offerte lavorative
La truffa inizia tipicamente con un messaggio non richiesto di un recruiter inviato su una piattaforma social media o tramite un’altra applicazione di messaggistica, come SMS, WhatsApp, Telegram, ecc. (figure 1 e 2), in cui si offre un’opportunità di lavoro da casa. Nonostante le recenti spinte al ritorno in ufficio, le attività da remoto restano molto popolari tra le persone in cerca di occupazione.
Il truffatore si lancia poi in una breve descrizione della “piattaforma di lavoro” dell’azienda. L’attività specifica e l’impersonificazione del marchio possono variare notevolmente, dal potenziamento di stream popolari su Spotify, alla recensione di prodotti e finti servizi di TikTok Shop, o addirittura alle recensioni di hotel. In sostanza, si tratta di click farming.
Una volta che l’obiettivo accetta il lavoro, l’attore delle minacce lo guida a registrarsi su un sito, ovviamente pericoloso. Per farlo, la vittima riceve un codice di riferimento, poiché il contenuto della pagina non è visualizzabile se non si è registrati. Ciò rende individuazione ed eliminazione di questi siti web un po’ più complesso per i difensori, poiché le richieste di rimozione dei domini spesso richiedono una quantità sostanziale di prove. Fortunatamente, la piattaforma Emerging Threats Intelligence è stata all’altezza della sfida e ha sviluppato firme specifiche per identificare questi nuovi siti di truffa.
Dopo che la vittima si è registrata, il truffatore – o “gestore” – chiederà di condividere uno screenshot della pagina del suo profilo per poter creare un account di formazione.
Bisogna spendere per perdere denaro
Una volta creato l’account di training, il truffatore istruirà la vittima su come svolgere la propria funzione lavorativa. Questa parte può variare a seconda del tema della piattaforma, come recensire prodotti o servizi, inviare ordini di prodotti o prenotare hotel, ma presenta tipicamente le stesse caratteristiche fondamentali. L’utente deve cliccare su un pulsante per inviare una recensione, vendere dati, ascoltare musica o svolgere un altro compito. Di seguito è riportato un elenco di aziende spacciate per tali e dei “compiti” che sono stati offerti ai nostri ricercatori:
Azienda impersonificata | Attività richiesta |
Outlier Ventures | False recensioni di applicazioni dell’app store |
Temu | False recensioni di prodotto |
TikTok | Recensioni di prodotti e acquisti falsi |
Daptone Records | False recensioni di musica in streaming e riproduzione di brani specifici tramite Spotify |
Hotel Association of Canada | Recensioni e prenotazioni alberghiere false |
Il numero di volte che un utente deve cliccare per essere “pagato” varia da 30 a 50 volte per sessione di lavoro, in base alle istruzioni del suo “gestore”. Dopo aver cliccato per un po’ (di solito poco più di metà), l’utente incontrerà un errore che non gli permetterà di continuare. Il saldo del conto delle finte commissioni mostrerà un importo negativo, ma il gestore spiegherà che l’utente si è imbattuto in un evento “fortunato” e si mostrerà super entusiasta.
Il gestore non fornisce una spiegazione chiara del motivo per cui il saldo del conto è stato ridotto a zero, ma sostiene sia un bene per la vittima e spiega che, una volta che l’utente avrà riportato il conto in positivo, sbloccherà un moltiplicatore sulle sue entrate. Per questa volta, il gestore pagherà per la formazione, ma l’utente potrà raccogliere i frutti quando avrà iniziato a operare sul proprio account. Il gestore lo incaricherà di contattare un agente di supporto della piattaforma per ottenere l’indirizzo del wallet di criptovalute e farà uscire il conto dal negativo, chiedendo all’utente di continuare le sue attività. Una volta completate, sarà invitato ad accedere nuovamente al proprio conto, che mostrerà un saldo di 70-80 dollari e, se prova a ricominciare a lavorare, la pagina web con i dettagli del falso saldo lo informerà che per utilizzare la piattaforma dovrà portare il conto a un minimo di 100 dollari. Il gestore lo esorterà a farlo, per non perdere il “bonus 5x” ricevuto durante la formazione e lo informerà inoltre sui “livelli di commissione VIP”, in cui i lavoratori possono investire da 100 a 5.000 dollari per aumentare il numero di commissioni ricevute e di incarichi che possono essere inviati in un giorno.
Cosa succede poi? Supponiamo che la vittima ricarichi il conto con il proprio denaro e inizi a cliccare con fiducia. Dopo un paio di giorni di accumulo di commissioni, la vittima sarà “fortunata” e avrà di nuovo un saldo negativo come nella sessione di training. Il responsabile la esorta a versare, rassicurando che ne varrà la pena. Dopo aver inviato la criptovaluta al wallet designato, la vittima inizierà a vedere il proprio saldo aumentare come previsto. Come nel caso della classica truffa pig butcher, a questo punto la vittima può anche essere autorizzata a ritirare il suo primo “stipendio”. Il prelievo non può mai essere superiore a quello che la vittima ha versato sulla piattaforma, ma le sarà permesso di prelevarne una parte. Le piattaforme non elaborano i pagamenti, che vengono invece eseguiti dai rappresentanti del “servizio clienti” o dal gestore (sempre che pensi di continuare a pagare). Questo circolo vizioso continuerà finché i truffatori penseranno che la vittima continuerà a investire nel sistema. Se sospettano che si sia accorta della truffa, bloccano il suo account e la eliminano. Sebbene le perdite siano in genere inferiori a quelle di una truffa di investimento in criptovalute di tipo pig butcher, le perdite possono facilmente raggiungere le decine di migliaia di dollari.
Molte di queste truffe prevedono la creazione di un rapporto individuale tra vittima e gestore, anche se i ricercatori di Proofpoint ne hanno identificate alcune che vengono indirizzate a una chat di gruppo e individuali su Telegram o WhatsApp, in diversi Paesi e lingue.