Ti arriva un’email che avvisa di un grosso acquisto effettuato con il tuo conto PayPal — un computer, uno smartphone di fascia alta, o un altro articolo costoso. Il mittente è esattamente service@paypal.com. Il messaggio non è finito nello spam, la grafica sembra autentica, e nel testo si legge che il pagamento è stato bloccato per un controllo di sicurezza. Per annullare l’ordine, ti viene chiesto di chiamare un numero verde.
La reazione naturale è il panico. Ed è esattamente quello che i truffatori vogliono da te.
| ⚠ ATTENZIONE | Questa è una truffa sofisticata. Il mittente è tecnicamente autentico, ma il contenuto è stato manipolato. Non agire d’impulso: leggi prima questa guida. |
Lo scenario: cosa ti arriva nella casella email
Le truffe di phishing tradizionali si riconoscono dal mittente contraffatto: un indirizzo email che imita quello ufficiale ma non corrisponde mai esattamente. Questa variante è diversa e molto più insidiosa, perché l’email parte davvero dai server ufficiali di PayPal. I classici filtri antispam non rilevano nulla di anomalo: il messaggio arriva direttamente nella cartella principale.
Come funziona la truffa: la tecnica dei criminali
1. Lo sfruttamento della funzione Abbonamenti
I criminali sfruttano una funzione legittima della piattaforma PayPal: la creazione di un “abbonamento” o piano di pagamento ricorrente. In fase di configurazione, PayPal permette di inserire testi liberi in alcuni campi — come il nome del piano o la descrizione del negozio. I truffatori inseriscono in quei campi il messaggio allarmante, con tanto di numero di telefono fasullo.
2. La notifica di “abbonamento disattivato”
Una volta creato l’abbonamento-trappola, i criminali lo disattivano immediatamente. Il sistema automatico di PayPal invia allora una notifica di “abbonamento cancellato” a tutte le email associate alla mailing list utilizzata per creare il piano. Dato che questa email parte dai server autentici di PayPal, i filtri antispam non la bloccano.
3. L’attacco vero: la telefonata (vishing)
Il vero pericolo non è nell’email, ma in ciò che succede se chiami quel numero. Dall’altra parte risponde un finto operatore PayPal, addestrato a usare tecniche di ingegneria sociale: crea urgenza, simula professionalità, e ti convince a:
- fornire le credenziali di accesso al tuo conto (email e password);
- comunicare codici OTP ricevuti via SMS;
- scaricare un software di assistenza remota (come AnyDesk o TeamViewer) che gli consente di prendere il controllo del tuo dispositivo;
- effettuare bonifici o pagamenti per “sbloccare” il conto.
| 💡 NOTA TECNICA | Questa tecnica si chiama vishing (voice phishing): la parte iniziale è un’email (phishing), ma la truffa si consuma per telefono, sfruttando la voce umana per abbassare le difese psicologiche della vittima. |
Perché questa truffa è così efficace
I classici sistemi di difesa — filtri antispam, controllo del mittente, avvisi del browser — non rilevano nulla di anomalo, perché tecnicamente l’email è legittima. Questo la rende particolarmente pericolosa per chiunque:
- abbia scarsa familiarità con i meccanismi del phishing avanzato;
- si fidi del controllo visivo del mittente come unica verifica;
- reagisca emotivamente a messaggi che evocano perdite economiche o blocchi del conto.
Il meccanismo psicologico sfruttato è lo stesso da decenni: creare un senso di urgenza e paura che spinge ad agire prima di pensare. Il tasso di successo di queste campagne è significativamente più alto rispetto al phishing tradizionale, proprio perché supera le difese tecniche e attacca direttamente il fattore umano.
Come riconoscere l’email truffa
Anche se il mittente è reale, ci sono elementi che permettono di smascherare la frode:
- PayPal non inserisce mai numeri di telefono da chiamare nelle email automatiche di notifica.
- Il testo contiene spesso errori grammaticali o frasi dal sapore non autentico, soprattutto se generato automaticamente.
- Il riferimento a un acquisto specifico — ma nessuna transazione visibile nel tuo conto — è il segnale più chiaro.
- L’email proviene da una lista di abbonamento, non da una comunicazione diretta al tuo account.
Cosa fare e cosa non fare
| ✅ COSA FARE | ❌ COSA NON FARE |
|---|---|
| Vai direttamente su www.paypal.com digitando l’indirizzo nel browser | Non chiamare mai il numero di telefono indicato nell’email |
| Apri l’app ufficiale PayPal dal tuo smartphone | Non cliccare su link presenti nel corpo dell’email |
| Controlla i movimenti del conto: se non vedi addebiti anomali, sei al sicuro | Non fornire mai password, codici OTP o dati personali al telefono |
| Segnala il messaggio a phishing@paypal.com | Non scaricare programmi di assistenza remota su richiesta di sconosciuti |
| Cestina l’email senza risponderle | Non lasciarti prendere dal panico: è la loro arma principale |
Guida passo per passo: come verificare in autonomia
Se ricevi un’email sospetta che ti avvisa di un acquisto non autorizzato, segui questo protocollo:
- Non chiamare il numero indicato nell’email.
- Apri il browser e digita manualmente www.paypal.com — non cliccare su link nell’email.
- Accedi al tuo account e vai su “Attività” o “Movimenti”.
- Se non vedi alcun acquisto anomalo, il tuo conto è al sicuro. L’email è una truffa.
- Segnala l’email a phishing@paypal.com e cestinala.
- Se hai già chiamato il numero o fornito dati, contatta immediatamente il supporto ufficiale PayPal e la tua banca.
| 🆘 URGENTE | Se hai già chiamato il numero, fornito credenziali o installato un software remoto: cambia subito la password PayPal, attiva l’autenticazione a due fattori, contatta la tua banca per bloccare eventuali transazioni e sporgi denuncia alla Polizia Postale su commissariatops.it. |
La risposta di PayPal
PayPal è a conoscenza di questa vulnerabilità nel sistema degli abbonamenti e sta lavorando per implementare misure che impediscano l’abuso dei campi di testo liberi a scopo di frode. Nel frattempo, la piattaforma ricorda che non chiede mai di chiamare numeri di telefono via email e che il supporto ufficiale è accessibile esclusivamente attraverso i canali presenti sul sito ufficiale.
Segnalare queste email a phishing@paypal.com aiuta il team di sicurezza a tracciare le campagne attive e a reagire più rapidamente.
Conclusione: la tecnologia non basta, serve consapevolezza
Questa truffa dimostra che i filtri tecnici da soli non possono proteggerci da attacchi che sfruttano i meccanismi legittimi delle piattaforme. L’unica difesa efficace è la consapevolezza: sapere che esiste questa tecnica, riconoscere i segnali d’allarme, e non agire mai d’impulso di fronte a messaggi che creano urgenza.
Condividi queste informazioni con colleghi, familiari e collaboratori. La sicurezza informatica è un tema collettivo: più persone conoscono queste tecniche, meno vittime fanno i truffatori.