Volti famosi usati per frodi online

Ad inizio mese su diverse testate sono apparsi articoli (repubblica.it, ilfattoquotidiano.it, tg24.sky.it) inerenti alla denuncia sporta dalla conduttrice Mara Venier dopo essere venuta a conoscenza che la sua immagine era stata utilizzata per veicolare frodi legate all’acquisto di crypto valute.

Si potrebbe dire che… Sorprende la sorpresa! Nei mesi scorsi D3Lab ha condotto diverse indagini a monitoraggio delle frodi veicolate attraverso i social network, trovandole particolarmente aggressive su Facebook, ora Meta, riguardo alle quali abbiamo scritto diversi articoli su questo blog:

L’analisi giornaliera condotta su Facebook aveva immediatamente permesso di individuare innumerevoli annunci pubblicitari malevoli realizzati facendo uso di volti noti quali Flavio Briatore, Gianluca Vacchi, Gerry Scotty, Myrta Merlino, ecc. i quali venivano inconsapevolmente usati per creare roboanti titoli acchiappa click (clickbait) su false pagine web di testate giornalistiche quali Repubblica, RaiNews, ecc. dove venivano strumentalizzati per affermare di essersi arricchiti enormemente attraverso piattaforme di investimenti in cripto valuta.

Diversamente dal caso denunciato dalla Venier non si rilevavano video realizzati con la tecnologia del deep-fake, ma solo falsi articoli apparentemente pubblicati da testate giornalistiche.

La sorpresa deriva dal fatto che il “gioco” va avanti da tempo, esattamente come le frodi per la falsa vendita di azioni ENI, piuttosto che di dispositivi Garmin, orologi Omega, scarpe Asics, Hoka, elettrodomestici Dyson, ecc… ripresentandosi apparentemente senza alcun reale contrasto da parte della piattaforma per la quale la vendita di annunci rimane comunque una fonte di entrate.

Non sembra esservi nemmeno un efficace contrasto da parte dei brand targettizzati, in quanto gli annunci fake continuano a ricomparire su Facebook, ed in parte minore su Instagram, ed a linkare ad i medesimi siti web fraudolenti.

D’altra parte il contrasto e l’azione investigativa non sono indubbiamente sempre semplici. La possibilità data ai criminali di customizzare gli annunci in base al pubblico ed a gusti, età, ecc.. di questi, rende complesso riuscire ad individuarli e la stessa acquisizione dei dati relativi all’annuncio stesso, alla pagina che lo pubblica, al sito a cui il link porta, o viene fatta nell’immediato o un dato annuncio potrebbe anche non ricomparire al prossimo scroll down della pagina Facebook.

Vediamo di seguito alcuni casi con diversi volti noti, identici per pattern e quindi correlabili al medesimo team criminale:

Elisabetta Canalis e Cattelan

L’annuncio malevolo è pubblicato dalla pagina ufficiale di un ente governativo greco presumibilmente compromessa. Il link presente nell’annuncio porta ad una falsa pagina di “La Repubblica” attestata su un dominio fraudolento creato ad hoc con dominio repubbliCCa.com.
Il falso articolo riporta un’intervista mai avvenuta in cui la Canalis ammette a Cattelan di essersi arricchita attraverso una piattaforma online, di cui l’articolo riporta il link e che troviamo attestata sul medesimo dominio repubblicca.com.

Chiara Ferragni e Cattelan

In questo caso l’annuncio malevolo, pubblicato dalla pagina Facebook sempre compromessa, propone una presunta intervista tra Cattelan e Chiara Ferragni. Anche in questo caso il link presente nell’annuncio porta ad una falsa pagina di “La Repubblica” attestata, differentemente dal caso precedente, su un dominio registrato nel 2016 e presumibilmente compromesso.
Il falso articolo riporta anche in questo caso un’intervista mai avvenuta in cui la Ferragni ammette a Cattelan di essersi arricchita attraverso una piattaforma online, di cui l’articolo riporta il link e che troviamo attestata sul medesimo dominio compromesso.

Alessia Marcuzzi e Fabio Fazio

In questo caso l’annuncio malevolo è pubblicato da una pagina Facebook creata ad-hoc, questa presenta i primi contenuti datati 17 agosto ed numero di telefono con prefisso internazionale +86, prefisso che ritroviamo spessissimo nelle pagine Facebook usate per pubblicare falsi annunci in merito alla vendita a basso costo di prodotti (vedasi articoli precedenti). Il link presente nell’annuncio non porta al solito falso articolo di La Repubblica, ma direttamente alla falsa piattaforma online attestata sul dominio bonitoxlqa.com.

Apparentemente sembra mancare l’articolo in cui la Marcuzzi, in un’intervista del tutto falsa, spiega a Fazio come si è arricchita attraverso la piattaforma di crypto valuta.

Tuttavia se facciamo riferimento alla pagina Facebook del Doctor Jackson, mostrata alcune immagini sopra, possiamo trovare un post, quello indicato dalla freccia rossa, che presenta finalmente il link al falso articolo del falso sito di La Repubblica, anche questo risulta attestato sul medesimo sito/dominio in cui è attestato il falso portale di crypto valuta.

Una volta inseriti i dati nella pagina del falso portale di crypto valuta si riceve il messaggio mostrato nell’immagine sottostante.

e dopo poco si viene reindirizzati al sito di trading online attestato sul dominio toptiercapital.co registrato l’11 settembre scorso.

Il nome dominio toptiercapital.com sembra voler riprendere quella della società di investimenti statunitense TopTier Capital Partners, LLC (il cui dominio è però ttcp.com registrato dal 2004) forse per trarre in inganno gli utenti che dovessero svolgere superficiali ricerche.

Note conclusive

  • I falsi articoli delle testate giornalistiche risultano visualizzabili solo cliccando i link sui post/annunci di Facebook, altrimenti se si cerca di accedervi direttamente pur avendo gli url si approda a pagine sul medesimo sito ma che presentano altri contenuti;
  • Dopo un primo inserimento dei propri dati (ovviamente falsi) nel form ulteriori tentativi finiscono per essere bloccati, limitando successive verifiche.
  • Le pagine Facebook che hanno pubblicato gli annunci fraudolenti esaminate da D3Lab in questa tornata di accertamenti presentano tutte la spunta blu.

Gianluca Vacchi

In questo caso l’annuncio malevolo è pubblicato da una pagina Facebook presumibilmente compromessa, in quanto presenta contenuti già dal 2015. Il link presente nell’annuncio porta ad un falso articolo di RaiNews che racconta la notizia, del tutto infondata, che Gianluca Vacchi insieme ad un altro milionario italiano avrebbe lanciato una nuova piattaforma di investimento. Sia l’articolo che la pagina della piattaforma risiedono sullo spazio web del dominio karmads.com creato il 19 settembre scorso.

Per concludere

Seppur i commenti ai falsi annunci pubblicitari palesino che molti utenti sono in grado di riconoscere la frode, appare abbastanza certo che un qualche ritorno vi sia se i criminali continuano ad investire tempo e denaro (proveniente dalle frodi) per allargare e aggiornare la struttura di pagine, annunci e sito web.

I consigli rimangono sempre i soliti:

  • Dubitare di chi promette soldi facili;
  • Verificare le notizie, gli scoop (volto noto arrestato, fustigato dopo aver rivelato al mondo il guadagno facile) ricercando la presunta notizia sui motori di ricerca;
  • Verificare sempre l’attinenza della pagina/profilo social che pubblica un annuncio con la tematica dello stesso;
  • Verificare i domini dei siti su cui si viene portati cliccando gli annunci, repubbliCCa.com non è il sito web legittimo di “La Repubblica” anche se ne imita la grafica!

Per i curiosi

Se desiderate curiosare nel sistema e nella struttura creata e mantenuta dai criminali vi lasciamo nel seguito i link ad alcuni annunci malevoli, esaminateli con le dovute attenzioni.

Cattelan – Canalis:

Cattelan – Ferragni:

Cattelan – Ferragni:

Cattelan – Ferragni:

Ferragni

Cattelan – Ferragni

Ferragni

Cattelan – Ferragni
https://www.facebook.com/permalink.php?story_fbid=pfbid0cABvhTj8Wk9qsSXB1YZxgQrtw1Lgnm1yKkTMm8pjtFq4r6wd3GaDJ4DPSS7Ca2v2l&id=100091318416401

Marcuzzi

Marcuzzi

Fazio – Marcuzzi

Fazio – Marcuzzi

Gialuca Vacchi

Gianluca Vacchi

Myrta Melino

Maria De Filippi