Tecnología

Come ho raggirato per giorni uno scammer che ruba profili su Instagram

atacuri phishing, escroci tepe instagram

Se hai un profilo su qualche social o una casella email, avrai subito almeno una volta nella vita un tentato attacco di phishing: un messaggio promozionale troppo invitante, un corriere che ti chiede informazioni insolite per una consegna urgente, un amico che ti chiede aiuto perché gli hanno bloccato il profilo e ha bisogno—chissà perché—proprio dei tuoi dati.

Nel 2022, vengono inviate più tre miliardi di email di phishing alla settimana—dunque cascarci, per quanto fastidioso e frustrante, può capitare. Ciò che capita meno è riuscire a vendicarsi. Così, quando uno scammer ha preso possesso del profilo di una mia amica su Instagram e mi ha contattato fingendosi lei, ho deciso di prenderlo in giro e portarlo allo sfinimento—rivoltando contro di lui le stesse tattiche che gli scammer usano più frequentemente, illudendolo passo per passo che valesse la pena assecondarmi.

Videos by VICE

Un avviso doveroso: se vuoi cimentarti in un’impresa simile a quella che sto per raccontare, fai attenzione a non rivelare mai dati sensibili.

Un giorno di settembre 2022, mi contatta un’amica—che da qui in poi chiameremo col nome di fantasia “Scamilla,” per proteggere la privacy della persona reale e dare un nome allo scammer—, che con grande onestà intellettuale (“È troppo bello per essere vero”) mi propone di contattare il suo “mentore,” un tizio che le ha permesso di diventare improvvisamente ricca grazie a un investimento di modesti 1000 euro “in bitcoin.” 

riconoscere_scammer instagram_01.jpg

Naturalmente, la vera proprietaria del profilo sta scrivendo da giorni nella chat di gruppo di WhatsApp, lamentandosi del fatto che il suo account è stato hackerato. Trattandosi di una “proposta” per diventare ricchi—un sogno forse universale, sicuramente un argomento affascinante—decido che vale la pena intraprendere una conversazione con lo scammer.

Scamilla tenta di liquidarmi (o, insomma, di chiudere l’affare) nel modo più veloce possibile alla seconda fase della truffa, ma io cerco di prendere tempo: Scamilla deve dimostrare di essere l’amica che conosco da sempre, quindi non può sottrarsi alle mie legittime curiosità sulla sua vita personale e amorosa.

riconoscere_scammer instagram_02.jpg

Scamilla mi dà qualche piccola soddisfazione inventando risposte alle mie domande, ma non si distrae dal suo compito principale: farmi seguire il suo Mentore.

riconoscere_scammer instagram_03.jpg

Ogni volta che pretendo una risposta assurda da Scamilla (come il suo numero di piede per un paio di fantomatiche Jordan che le voglio regalare per ringraziarla), la premio con la prospettiva di sempre maggiori investimenti e conseguenti guadagni per lei, per demolire il suo senso critico—replicando, quindi, la precisa strategia degli scammer.

riconoscere_scammer instagram_04.jpg

Una volta che Scamilla esaudisce tutte le mie richieste di confidenze e calcoli matematici, decido di tenerla impegnata con una lunga ricerca di inutili foto di cagnolini. La posta in gioco, a questo punto, sono già 50mila euro.

riconoscere_scammer instagram_05_s.jpg

Non è affatto credibile che qualcuno investa 50mila euro a condizione di ricevere delle foto di cagnolini, eppure Scamilla prosegue con impegno lodevole la sua ricerca di foto di cuccioli; in altre parole, lo scammer prova in tutti i modi a guidare la nostra trattativa per non rischiare di perdere l’opportunità che rappresenta, senza accorgersi di essere, di fatto, costretto a continuare una conversazione semplicemente delirante.

riconoscere_scammer instagram_06_s.jpg

Nel caso in cui vi sembri moralmente inaccettabile obbligare uno scammer a soddisfare i capricci di parenti ricchi immaginari, ricordate che è uno scammer, e soprattutto guardate che carini questi cuccioli.

riconoscere_scammer instagram_07_s.jpg

Tra i vari cagnolini sottoposti alla mia attenzione da Scamilla, seleziono quello fotografato in compagnia di una maniglia a pomolo anziché una banale pallina e lo invio a un finto padre boomer da convincere della validità dell’investimento—, in realtà, ovviamente, “il padre” è interpretato da una mia diabolica complice.

riconoscere_scammer instagram_08.jpg

L’introduzione della figura “padre”—e degli screenshot della conversazione parallela con lui—è fondamentale per zittire nella mente di Scamilla il dubbio di essere stata raggirata. Agli screenshot, come strumento di convincimento, aggiungo poi la promessa di altri soldi, e l’introduzione di un ricco magnate amico di famiglia, pronto a seguire i consigli di Scamilla e del suo Mentore.

A un certo punto, la complice che ha gentilmente interpretato il ruolo di mio padre mi sfida a ottenere una foto dei piedi dello scammer (per omaggiare un’altra grande tradizione di internet), cosa che mi sembra il miglior modo per verificare che Scamilla calzi veramente il 34 e ordinare le Jordan pervinca. Praticamente Marcello—cioè il ricco amico di famiglia—in questo caso è il mio Mentore, che incasserà il bottino finale, cioè la foto.

riconoscere_scammer instagram_09.jpg

So cosa state pensando: Scamilla avrà trovato online la foto di piedi che mi ha mandato. Invece no. Facendo una ricerca inversa per immagini, si ottengono zero risultati identici a quella foto. Forse non sono davvero i piedi dello scammer, ma sono piedi sicuramente fotografati apposta per me, anzi per Marcello. Mi diverte, comunque, immaginare lo scammer che fiducioso si inginocchia sul suo letto, sceglie la posizione ottimale per la foto, fantasticando con la mente su quando racconterà agli amici di come ha guadagnato 70mila euro mandando qualche foto a un paio di ricchi ingenui italiani.

riconoscere_scammer instagram_10.jpg

Questa storia non è andata più lontano di così, ma il fenomeno dello scam (e del phishing) attraverso i servizi di Meta e altri media è particolarmente diffuso e ha una storia lunghissima. Spesso gli strumenti per segnalare questi illeciti sono inutili, gestiti da algoritmi molto più efficaci nell’individuare capezzoli femminili che nel rilevare irregolarità nei profili degli scammer.

Alcuni creator si dedicano ad azioni punitive nei confronti dei truffatori, che vanno molto oltre la presa in giro documentata in questo articolo. Lo youtuber e inventore Mark Rober ha progettato e costruito delle cosiddette “Glitter Bomb,” cioè scatole da spedire agli scammer in grado di rilasciare nuvole di glitter e spray puzzolente, e documenta ogni missione a distanza. Un sistema innocuo, ma molto fastidioso (è quasi impossibile pulire del tutto qualcosa dai glitter), che funge da deterrente e da strumento di rivincita.

In una delle sue missioni, Rober ha individuato tre enormi call center dotati di interi piani esclusivamente dedicati alle truffe telefoniche. Da una grande distanza è riuscito a far infiltrare alcuni complici e rilasciare scarafaggi, topi, saponi macchianti, glitter e puzze varie.

Lo youtuber Kitboga, invece, sarebbe riuscito in più occasioni a ribaltare i tentativi di scam fino al punto di farsi inviare denaro dai truffatori. Spesso si finge una donna anziana per abbassare ulteriormente le difese delle sue “vittime” e aumentare il senso di giustizia evocato dall’operazione. Gli scammer non mostrano pietà verso la presunta signora apparentemente ingenua e in difficoltà, e poi si ritrovano disperati per aver perso somme anche importanti.

Lungi da prendere provvedimenti così pratici (o da sponsorizzare azioni simili), Meta ha messo a disposizione alcune infografiche tristi, che scaricano soprattutto sull’utenza di Facebook la responsabilità di distinguere gli scammer dagli utenti normali. Su Instagram, ha messo a disposizione una sezione che riguarda la sicurezza, pensata evidentemente per un pubblico più giovane. Esistono poi istruzioni generali sulla prevenzione di truffe e attacchi di phishing, come attivare l’autenticazione a due fattori per profili social, email e conti bancari.

A prescindere dall’avere competenze informatiche più o meno estese, la verità è che le truffe restano legate a un aspetto più umano che tecnologico; se da un lato le tecnologie cambiano continuamente offrendo modi sempre nuovi e diversi per imbrogliare le persone, dall’altro i meccanismi generali rimangono gli stessi da secoli: tendiamo a credere a quello che ci conviene, per quanto assurdo e improbabile si presenti. E questo vale anche per Scamilla.

Claudio Smith è lo pseudonimo che l’autore di questo articolo usa online dal 2009.