Come individuare ed evitare le truffe COVID-19

Pubblicato: 2022-01-29

Per fermare la diffusione del coronavirus, milioni di persone restano a casa, lavorano da casa, indossano maschere quando escono e si lavano spesso le mani per almeno 20 secondi. Sfortunatamente, queste tecniche non ti proteggeranno dai truffatori che stanno seguendo la scia della pandemia globale di COVID-19. Per questo, avrai bisogno di strategie diverse per individuare le truffe e proteggerti prima che i truffatori possano attaccare.

L'IRS dà, i truffatori portano via

Negli Stati Uniti, il governo federale ha designato fondi significativi per le aziende e le persone colpite dal COVID-19. Questo collega denaro e paura; i due strumenti principali dei truffatori.

Poiché l'IRS sta gestendo la dispersione dei pagamenti dall'atto CARES, è lecito ritenere che molti truffatori riciclano le loro truffe fiscali collaudate. Come per le truffe della stagione fiscale (che ora sono ancora in stagione fino a luglio), il metodo di consegna è solitamente il più semplice. Con rare eccezioni, il governo federale comunica con la popolazione tramite USPS. Non riceverai un messaggio di testo, e-mail, telefonata e soprattutto non un messaggio di social media o WhatsApp dall'IRS che chiede denaro, durante la stagione della dichiarazione dei redditi o altro.

Dal sito web dell'IRS, ecco un elenco di azioni che l'agenzia afferma che non farà:

-Chiamata per richiedere il pagamento immediato utilizzando un metodo di pagamento specifico come una carta di debito prepagata, una carta regalo o un bonifico bancario. In genere, l'IRS invierà prima una fattura a qualsiasi contribuente che deve le tasse.

-Chiedere di pagare le tasse senza la possibilità di mettere in discussione o fare ricorso per l'importo che dicono che devi. Dovresti anche essere informato dei tuoi diritti come contribuente.

- Minacciare di coinvolgere la polizia locale, gli agenti dell'immigrazione o altre forze dell'ordine per farti arrestare per non aver pagato. Inoltre, l'IRS non può revocare la patente di guida, le licenze commerciali o lo stato di immigrazione. Minacce come queste sono tattiche comuni che gli artisti della truffa usano per indurre le vittime ad acquistare nei loro schemi.

Un tema che attraversa tutte queste tattiche è l'urgenza. I truffatori cercano di mettere in corto circuito il tuo miglior giudizio stabilendo limiti di tempo o gravi conseguenze. I cattivi possono affermare che devi agire rapidamente per ricevere denaro o costringerti ad agire rapidamente per dare loro denaro. Possono anche affermare che sono coinvolti polizia, immigrazione o qualche altra minaccia implicita di violenza. Tutti questi sono progettati per impedirti di dedicare del tempo a pensare a ciò che viene chiesto e per impedirti di verificare i fatti. Il disastroso e confuso disastro di COVID-19 ha reso ancora più difficile mantenere la realtà, il che funziona a vantaggio del truffatore.

Sebbene le truffe fiscali siano il modello più probabile per le truffe di pagamento del coronavirus, l'IRS ha un elenco di altre possibili truffe. Una delle più grandi soffiate? Il vero IRS non lo chiamerà "stimolo" o "salvataggio". Di seguito sono riportate altre cose a cui prestare attenzione, dal sito Web dell'IRS.

L'IRS ricorda ai contribuenti che i truffatori possono:

-Enfatizzare le parole "Controllo dello stimolo" o "Pagamento dello stimolo". Il termine ufficiale è pagamento dell'impatto economico.

-Chiedere al contribuente di consegnare loro l'assegno di pagamento dell'impatto economico.

-Chiedere per telefono, e-mail, SMS o social media la verifica delle informazioni personali e/o bancarie affermando che le informazioni sono necessarie per ricevere o velocizzare il pagamento dell'impatto economico.

- Suggerire che possano ottenere un rimborso fiscale o un pagamento dell'impatto economico più velocemente lavorando per conto del contribuente. Questa truffa potrebbe essere condotta dai social media o anche di persona.

- Invia al contribuente un assegno fasullo, magari di importo dispari, quindi chiedi al contribuente di chiamare un numero o di verificare le informazioni online per incassarlo.

Sfortunatamente, nessuna indagine intelligente potrebbe essere sufficiente per proteggere il tuo pagamento IRS. Il New York Times riporta che, poiché l'IRS richiede così poche informazioni per dirottare i controlli dell'impatto economico, "[...] i criminali hanno utilizzato i numeri di previdenza sociale, gli indirizzi di casa e altre informazioni personali delle persone, molte delle quali erano disponibili online da dati passati violazioni, per assumere le loro identità e sottrarle ai controlli di stimolo e alle indennità di disoccupazione".

Questo tipo di attacco è reso possibile dalle innumerevoli violazioni dei dati dell'ultimo decennio. Le persone che rubano i dati non sempre li usano da soli. Invece, vendono i dati sui mercati del Dark Web dove possono essere combinati con altre informazioni rubate da altre violazioni dei dati. Alla fine, un utente malintenzionato può accumulare le informazioni necessarie per impersonarti.

Anche se sei certo che l'IRS abbia le informazioni necessarie per inviare il pagamento, prenditi un minuto per controllare lo stato del tuo pagamento sul tracker ufficiale dell'IRS. Ciò potrebbe fornire un avviso se un truffatore è già fuggito con i tuoi contanti COVID-19. Assicurati di essere sul sito web corretto prima di inserire le tue informazioni.

Fai attenzione alle e-mail contenenti regali

Sebbene l'IRS sia stato proattivo nell'avvertire contro le truffe dei pagamenti a impatto economico, questa potrebbe non essere (ancora) la minaccia più grande. "Considerando l'attenzione che ha ricevuto la legislazione CARES degli Stati Uniti, sarebbe sorprendente se i criminali non avessero intenzione di sfruttare l'interesse individuale e quelli che sembrano essere requisiti di verifica permissivi per conto dell'IRS", ha detto a PCMag Chet Wisniewski, Principal Research Scientist di Sophos .

"Ad oggi, non stiamo vedendo alcun payload di spam o virus che sfrutti questo, ma continueremo a monitorare la situazione e spargere la voce se ciò dovesse cambiare".

Ciò non significa che non ci siano truffe pericolose che utilizzano il COVID-19 come copertura. In effetti, sembra che molti truffatori lo stiano facendo. Google ha recentemente riferito che sta bloccando 18 milioni di e-mail fasulle relative al coronavirus al giorno. Google ha fornito esempi di alcune delle truffe che aveva bloccato. Alcuni si fingevano manager, indirizzando i dipendenti a informazioni sul lavoro da casa che erano davvero un collegamento dannoso. Altri hanno fatto riferimento a pagamenti a impatto economico e hanno esortato i destinatari ad aprire un file allegato e dannoso.

Google consiglia di evitare file sconosciuti o imprevisti direttamente sul tuo computer e di utilizzare invece il visualizzatore di documenti integrato. L'azienda ha anche esortato le persone a guardare con molta attenzione il dominio e-mail (questo è ciò che viene dopo il segno @ in un indirizzo e-mail) per assicurarsi che sia legittimo. C'è una grande differenza tra [email protected] e [email protected]

La società di sicurezza e-mail GreatHorn ha contestualizzato l'incredibile somma di e-mail truffa. La ricerca dell'azienda mostra che, durante la prima metà di aprile, il 2,4% degli 1,4 miliardi di e-mail analizzati erano correlati al COVID-19. Di quelle e-mail relative al COVID-19, il 36,6% erano truffe.

Farmacie false e altre truffe

È più facile vendere un prodotto falso o phishing qualcuno con successo se la tua truffa ha un posto dove vivere. Questo potrebbe essere in parte il motivo per cui c'è stato un aumento degli URL relativi al coronavirus.

Il 20 aprile, la società di sicurezza Check Point ha riferito che da gennaio sono stati registrati 68.000 domini di coronavirus e solo 16.989 registrati nelle prime due settimane di aprile. Di quei dichiaranti di aprile, il 2% è stato confermato come dannoso e un altro 21% sospetto.

I truffatori possono utilizzare questi URL per apparire più legittimi. È più probabile che le persone si fidino di un URL visualizzato pertinente rispetto a una stringa casuale di lettere e numeri. In particolare, Check Point riporta che le registrazioni degli URL relative al coronavirus sono state 3,5 volte più grandi della settimana in cui sono stati annunciati i pagamenti dell'impatto economico.

È importante sottolineare che non tutti gli URL del coronavirus sono pericolosi. Un ente di beneficenza potrebbe volere un URL pertinente per aiutare nella raccolta fondi. Palo Alto Networks fa notare che alcuni potrebbero essere semplicemente investimenti: nomi importanti che sono stati rapidamente catturati nella speranza di venderli a scopo di lucro. È losco ma non illegale. Più discutibile era un gruppo di siti che vendevano ebook sul coronavirus.

"Abbiamo trovato un gruppo di siti Web che si basano sulle paure già esistenti delle persone per il coronavirus e cercano di spaventarle ulteriormente facendole acquistare il loro ebook", ha scritto Palo Alto Networks nel rapporto dell'azienda. "In primo luogo, riproducono un video inquietante sulle situazioni e gli eventi più spaventosi legati al coronavirus, quindi pubblicizzano il libro come la chiave per sopravvivere a questa pandemia". La società osserva che alcuni clienti che hanno acquistato il libro si sono lamentati di non aver ricevuto il prodotto.

Cosa c'è su quegli URL veramente pericolosi? Nel suo rapporto, Palo Alto Networks ha trovato alcuni nuovi colpi di scena sui vecchi classici. Alcuni siti trasportavano semplicemente payload dannosi, false truffe del supporto tecnico e vetrine progettate per sottrarre i dati della tua carta di credito. Altri erano più contemporanei e insidiosi. "Una parte significativa di essi viene utilizzata sia per attività dannose note sia per negozi fraudolenti che vendono articoli scarsi".

Alcuni siti potrebbero avere il coronavirus nell'URL, ma vendono qualcosa di completamente diverso. "Sebbene i nomi di dominio suggeriscano che questi negozi vendano rimedi per il coronavirus, pubblicizzano principalmente il Viagra e altri farmaci non correlati al virus". Palo Alto Networks osserva che i farmaci acquistati da fonti online discutibili potrebbero non essere gli stessi del vero affare e potrebbero essere venduti a dosaggi non sicuri.

Consigliato dai nostri editori

Gli attacchi di phishing aumentano del 350% tra l'immagine della quarantena COVID-19

Gli attacchi di phishing aumentano del 350% durante la quarantena COVID-19

WhatsApp limita l'inoltro di messaggi "virali" per fermare l'immagine di disinformazione COVID-19

WhatsApp limita l'inoltro di messaggi "virali" per fermare la disinformazione COVID-19

Nuovo ceppo di coronavirus? No, solo hacker che cercano di diffondere malware

Quando si cerca di individuare un sito pericoloso, Palo Alto Networks suggerisce di fare attenzione agli errori grammaticali e alle pagine piene di parole chiave pertinenti. Un altro racconto? Siti che non hanno un indirizzo o un numero di telefono, ma includono un numero WhatsApp.

Fidarsi ma verificare

Gli X-Files ci hanno implorato di "non fidarti di nessuno", ma io preferisco il motto della Guerra Fredda "fidati, ma verifica". La paranoia non è utile, ma dovresti considerare attentamente tutte le informazioni che ricevi prima di agire di conseguenza.

Come verificare le informazioni nell'era delle fake news è un'altra questione, ma almeno nel regno delle truffe dell'IRS, c'è un buon punto di partenza: il sito web ufficiale dell'IRS www.irs.gov. I truffatori possono fornire indirizzi e-mail, URL o numeri di telefono nei loro messaggi. Non utilizzarli a meno che non sia possibile confrontarli esattamente con le informazioni di contatto sul sito Web dell'IRS. Se i truffatori affermano di provenire da un'altra agenzia o banca, trova il sito Web ufficiale dell'organizzazione e controlla le informazioni di contatto. Se non corrisponde, contatta comunque tramite i canali ufficiali. In questo modo puoi essere sicuro di avere ragione e segnalare il tentativo di phishing.

Se stai ricevendo una truffa di pagamento a impatto economico, l'IRS ha un intero processo per segnalarlo e risorse disponibili per aiutarti a identificare una truffa. Puoi anche contattare l'agenzia telefonicamente, anche se immagino che i tempi di attesa per il doppio smacco del COVID-19 e l'estensione della stagione di dichiarazione dei redditi saranno lunghi. Consiglio di mettere il telefono in modalità vivavoce, prendere degli spuntini e guardare un po' di Netflix mentre aspetti.

Tutto questo vale per altri schemi legati al coronavirus. Se ricevi e-mail o messaggi di testo imprevisti con inviti all'azione o file allegati, fai molta attenzione. Se proviene da qualcuno che conosci, contattalo attraverso un metodo diverso e verifica che ciò che hai ricevuto sia legittimo.

Tieni presente che i truffatori sono molto bravi a individuare gli URL che sembrano legittimi e persino più bravi a creare siti di phishing convincenti. Nel mio lavoro per testare la protezione anti-phishing di vari prodotti, ho utilizzato siti di phishing reali e in tempo reale. Alcuni di loro sono ridicolmente cattivi, ma altrettanti sono spaventosamente accurati. Cerca HTTPS all'inizio dell'URL o l'icona di un lucchetto accanto all'URL. Questo non è infallibile, ma è un inizio. Quindi guarda il resto dell'URL. Ci sono errori di ortografia? Ci sono diversi punti nel nome di dominio, che fanno sembrare .com più simile a .com.au.ru? Questi sono tutti segni che il sito non è in crescita. Per ulteriori informazioni su come aggirare questo particolare tipo di minaccia, leggi Come evitare le truffe di phishing.

I truffatori cercheranno di impedirti di verificare le informazioni di base, di solito con minacce o scadenze frenetiche. Per le truffe legate all'IRS, questa è una bandiera rossa importante, poiché il governo degli Stati Uniti si muove a un ritmo geologico. Questo vale anche per la maggior parte delle istituzioni finanziarie, dei creditori e così via. Se ricevi una comunicazione da qualsiasi autorità o agenzia che richiede un'azione immediata, rispondi con sospetto immediato.

Applica questa stessa tattica anche in altri contesti. Un truffatore vorrà che tu agisca prima e poi pensi, sia che ti stia portando a fare clic su un collegamento dannoso o ad acquistare una cura fasulla per il coronavirus. Vale sempre la pena dedicare del tempo extra per convalidare le affermazioni che ricevi, anche se ci vuole tempo in più a causa della confusione e dello stress emotivo causati da questa pandemia.

Preparati al peggio

La pandemia di coronavirus è un disastro globale diverso da qualsiasi cosa nella storia recente. Quindi, è irragionevole aspettarsi che tu prenda le decisioni migliori. Rimanere vigili contro i truffatori richiede un pensiero freddo che scarseggia in un momento di devastazione, disinformazione e messaggi contrastanti da parte dei governi. Sii generoso con te stesso quando commetti degli errori.

È importante supporre che commetterai errori, quindi prendi precauzioni contro quegli errori. Innanzitutto, ascolta i messaggi di avviso. Il tuo browser e molte piattaforme di posta elettronica hanno protezioni antiphishing integrate e la maggior parte fa un ottimo lavoro. Se vedi un avviso pop-up che dice che un sito o un allegato è pericoloso e sai che l'avviso è reale, presta attenzione.

Sul tuo computer di casa, installa il software antivirus e tienilo aggiornato. Abbiamo esaminato molti prodotti degni di nota per macchine Windows e Mac. Ci sono anche opzioni gratuite. Anche se sei eccellente nell'individuare i pericoli online, il software di sicurezza è disponibile come backup. Potrebbe anche fare un lavoro migliore per fermare una nuova, nuova minaccia prima che possa causare danni.

Molte attività di truffa sono orientate all'acquisizione di account. Puoi proteggerti dai malintenzionati che si impossessano dei tuoi account online utilizzando una password univoca e complessa per ogni sito Web e servizio che utilizzi. Se riutilizzi le password su siti diversi, un sito compromesso potrebbe significare che un utente malintenzionato ottiene l'accesso a tutti gli altri siti in cui hai riutilizzato la password. Un gestore di password può generare e riprodurre password complesse, togliendoti il peso dalle spalle. Consiglio anche di utilizzare un gestore di password che sincronizzi i tuoi accessi tra i dispositivi, anche se la tua fiducia nel cloud può variare dalla mia.

Infine, abilita l'autenticazione a due fattori su qualsiasi sito o servizio che lo offre. Ciò consente passaggi aggiuntivi nel processo di accesso che rendono infinitamente più difficile dirottare l'account, anche quando il malintenzionato ha un nome utente e una password validi. Puoi optare per un'app gratuita che funge da autenticatore, una chiave hardware o qualche altro schema. Evita l'autenticazione SMS, ma lo farà in un pizzico.

Negli ultimi due mesi, abbiamo tutti imparato alcune nuove abilità semplici ma fondamentali: come fare una maschera da una vecchia maglietta, come contare 20 secondi di lavaggio delle mani e come guardare a sei piedi di distanza sociale, per citarne solo alcuni. Puoi scongiurare un'altra intera serie di minacce COVID-19 semplicemente imparando le competenze di sicurezza digitale necessarie per individuare le truffe, competenze che ti serviranno bene anche dopo la pandemia.