PayPal Invoice è un servizio del noto gateway di pagamento che consente di creare ed inviare fatture pro-forma direttamente dall’account: questa volta è stato utilizzato per mettere in atto l’ennesima truffa Bitcoin.
È un sistema ad esempio molto utilizzato per richiedere pagamenti di prestazioni professionali, dato che consente anche la personalizzazione delle fatture. Chi non ha un sistema proprio di fatturazione ed intende farsi pagare tramite PayPal può utilizzarlo per creare ed inviare facilmente le proprie fatture pro-forma.
Da un po’ di tempo a questa parte Trend Micro ha scoperto che circola una truffa che cerca di sfruttare il nome di PayPal Invoice e di alcune criptovalute, tra cui Bitcoin, per rubare denaro agli sprovveduti.
Summary
La truffa con Bitcoin e PayPal invoice
Dal punto di vista strettamente tecnico la truffa è banalissima.
Infatti viene perpetrata semplicemente inviando un’email falsa con mittente [email protected] che chiede un pagamento in criptovalute.
Trend Micro ha pubblicato anche uno screenshot:
In realtà il vero mittente non è [email protected], e l’email non viene affatto inviata dai server o dai computer di PayPal. Infatti, esistono tecnologie di facile implementazione ed utilizzo che consentono di inviare email inserendo un indirizzo email a piacimento del mittente, quindi in realtà chiunque può facilmente inviare un’email con [email protected] come indirizzo del mittente. Anzi, praticamente chiunque, volendo, può inviarne con qualsiasi indirizzo del mittente.
L’email ovviamente contiene gli estremi per il pagamento, quindi chi la riceve potrebbe in effetti pensare che qualcuno gli abbia inviato da PayPal una fattura da pagare. Invece la fattura pro-forma di PayPal Invoice nemmeno esiste, ed esiste solo una richiesta di pagamento dei truffatori che ovviamente incasseranno qualsiasi cifra verrà loro pagata.
Il riconoscimento dello scam che coinvolge Bitcoin e PayPal Invoice
Fortunatamente è molto semplice riconoscere queste truffe.
Nonostante il mittente possa sembrare PayPal, è invece noto che PayPal non consente il pagamento in criptovalute su wallet esterni.
Ovvero nel momento in cui l’email indica come indirizzo pubblico a cui inviare le criptovalute un indirizzo esterno a PayPal, è già sicuro al 100% che si tratta di un tentativo di truffa.
Quello che bisognerebbe sapere è che tutti i pagamenti e tutte le transazioni che riguardano PayPal avvengono sempre e soltanto all’interno della loro piattaforma. Pertanto nello stesso momento in cui viene richiesto un pagamento esterno rispetto alla loro piattaforma si può essere certi che si tratta di un tentativo di truffa.
Chi incassa
Essendo gli indirizzi pubblici dei wallet crypto anonimi, non è possibile sapere a chi verrebbero effettivamente inviate le criptovalute.
I truffatori contano proprio su questo, ovvero sul fatto che non sia possibile per gli investigatori capire chi sta dietro questi tentativi di truffa.
Tuttavia gli investigatori possono seguire pubblicamente gli eventuali spostamenti successivi dei token una volta inviati agli indirizzi pubblici riportati nelle email truffaldine, nella speranza che i truffatori prima o poi compiano qualche errore che li renda individuabili.
In genere l’errore principale è quello di spostarli su un exchange centralizzato con l’obbligo di KYC, perchè in questo caso il wallet interno all’exchange su cui vengono spostato ha associato il nome ed il cognome di una persona presumibilmente reale. È già successo più volte che vari truffatori siano stati incastrati in questo modo nel momento in cui provavano a vendere le criptovalute incassate per cambiarle in valuta fiat o stablecoin.
L’efficacia della truffa
Per quanto possa sembrare strano che una tale truffa possa funzionare, i truffatori sono spesso ingegnosi e conoscono bene le vulnerabilità delle loro potenziali vittime.
Infatti una delle caratteristiche che a volte rendono questi tentativi efficaci è che la fattura inviata sembrerebbe avere a che fare con un servizio di uso molto comune, o con noti brand. Inviando enormi quantità di email di spam ad un pubblico vastissimo, non è improbabile che qualcuno dei destinatari abbia già in essere una qualche forma di contratto o di prestazione di servizio che potrebbe giustificare una richiesta di pagamento.
Rimane però il fatto che nel momento in cui PayPal sembra richiedere un pagamento esterno alla sua piattaforma si può essere certi che si tratti di una truffa.
Trend Micro però aggiunge anche altri suggerimenti per difendersi al meglio.
Il primo, ovviamente, è quello di controllare gli URL dei link su cui l’email invita a cliccare, perchè se sono esterni a PayPal ovviamente sono dubbi.
Il secondo è quello di non fidarsi di ciò che viene riportato all’interno dell’email, ed andare invece a controllare direttamente all’interno del sito ufficiale PayPal. Se l’indirizzo email a cui è associato il proprio account è lo stesso a cui è stata inviata l’email, se la fattura pro-forma fosse stata effettivamente inviata da PayPal risulterebbe anche sul sito una volta loggati.
Il terzo consiglio è ancora più drastico: mai cliccare su link o chiamare numeri di telefono indicati in email sospette.
