E' da un po' di tempo che mi balenava questa idea in testa: rendere consapevole tutto il forum dei tipi di truffe più comuni nello scambio di BTC/EUR o EUR/BTC. Come a breve potrete leggere, lo scammer, se vuole ottenere euro dalla sua truffa utilizza debolezze del sistema di pagamento in valuta fiat per truffare, viceversa, se vuole ottenere bitcoin sfrutta debolezze del venditore/acquirente. Gli scammer più organizzati e preparati mischiano tutto ciò a tecniche di social engineering creandosi più identità per dileguarsi più facilmente dopo l'avvenuto scam. Per rendere più organica e fruibile la guida dividerò le tecniche di scam in paragrafi.
"Invia i bitcoin prima"
Scam semplicissimo da attuare e semplicissimo da respingere, si basa tutto (sembra strano ma è così) sulla convinzione psicologica di chi deve inviare bitcoin
> Tipo di transazione: Acquisto di bitcoin
> Metodo di pagamento: Qualsiasi transazione effettuata con pagamenti a distanza
> Efficacia: 0,5/5
> Funzionamento: L'acquirente x si presenta al venditore y spesso in una chat (la mail è svantaggiosa per questo tipo di scam) con la richiesta d'acquisto di tot. btc (una cifra bassa, che non dia troppo nell'occhio). Solitamente l'acquirente x si dimostra motivato alla trattativa e cerca di interloquire con il venditore prima di mandare in porto l'affare. Appena si giunge all'accordo l'acquirente x si precipita a pagare, e utilizzando svariate scusanti per "velocizzare" la trattativa assilla il venditore y con richieste d'invio dei bitcoin prima che quest'ultimo possa effettivamente verificare l'accredito del pagamento.
So che potrebbe sembrare una banalità a tutti i venditori più esperti, ma può succedere ai più "nuovi" del mondo bitcoin che si venga inconsciamente incoraggiati all'immediato invio, pensando magari che nello stesso tempo l'acquirente x ci stia inviando il denaro: è proprio questa falla che viene sfruttata dallo scammer.
Possiamo trovare un repertorio piuttosto variegato di frasi scritte ad hoc per rassicurarci incoraggiandoci ad inviare i bitcoin prima di una nostra verifica:
- "Sto pagando ora, invia pure"
- "Ho pagato, l'email di conferma ci mette circa 20 min ad arrivare, intanto puoi inviare tranquillamente all'indirizzo che ti ho fornito"
- "Ho realmente urgenza di ricevere i bitcoin, quindi veniamoci incontro, io ora procedo a pagare, farò velocissimo, tu fa lo stesso, aspetto i bitcoin" (Frase spesso funzionante per i più creduloni)
Nel caso ci si trovi ad uno scammer relativamente organizzato, abituato ad attuare quindi questo tipo di scam svariate volte al giorno, potrebbe attuare la tecnica dello screenshot: vi recapiterà una ricevuta d'invio ovviamente falsa per darvi una finta sicurezza di avervi pagato. Se usate paypal, potrebbe generare una mail fake al vostro indirizzo del tutto somigliante alle mail di paypal che segnala un accredito ricevuto a vostro favore, stateci attenti.
Se poi andando a controllare su paypal vedete che nulla è cambiato, e lo segnalate all'acquirente x, potrebbe fregarvi in extremis, per es. sostenendo che l'accredito definitivo sul conto avviene entro 24h.
> Come difendersi:
- Premessa: il bitcoin è un tipo di pagamento NON reversibile, la gran parte dei pagamenti a distanza centralizzati SONO reversibili: ne consegue, quindi, che chi invia il pagamento NON reversibile in cambio del pagamento REVERSIBILE, è automaticamente svantaggiato, perché in caso di errore non può più sistemare la situazione. Di conseguenza, se dovete vendere bitcoin, tutelatevi prima di tutto prendendo il vostro tempo per attuare le opportune verifiche.
- Solito consiglio: mai fidarsi di nessuno conosciuto a distanza, se infatti nella realtà (incontro faccia a faccia) le tecniche di social engineering sono piuttosto complesse, su internet, tramite proxy, email temporanee, furti di identità, ecc... è veramente facile nascondersi.
Chargeback
La più conosciuta, la più utilizzata da scammer relativamente semplici da sgamare, sfrutta un enorme "falla" di paypal: lo storno di una transazione da parte dell'acquirente
> Tipo di transazione: Acquisto di bitcoin
> Metodo di pagamento: PayPal
> Efficacia: 2/5
> Funzionamento: Il venditore x riceve una richiesta d'acquisto di bitcoin da il compratore y, quest'ultimo può pagare i btc solo con paypal. Il venditore procede alla vendita, x invia a y i bitcoin appena ricevuta la somma su paypal. Dopo un periodo di tempo variabile che va dai 7 ai 120 giorni, il venditore x riceve una mail di paypal dove viene avvisato del congelamento parziale o totale dei suoi fondi per delle verifiche. Inoltre paypal precisa che la pratica ha una durata massima di 180 giorni. A questo punto il venditore x inutilmente si potrà rivalere sul compratore y che notoriamente, o scompare, oppure nega di aver avviato qualsiasi procedura di chargeback.
Giungiamo quindi alla situazione in cui il compratore y, ora diventato scammer, si ritrova sia con i bitcoin (metodo di pagamento NON reversibile) e con i soldi su paypal.
Il venditore x può provare a rivalersi su paypal per vie legali, molto spesso questa via porta al successo: i propri fondi vengono sbloccati, IN OGNI CASO, il venditore x ha una perdita economia temporanea e può, seppur in minima parte, dover sostenere delle spese giudiziarie.
Come scritto prima, per vie legali ci si rivale su paypal e non sullo scammer y, che come già detto in precedenza subito dopo l'avvenuto scam quasi sicuramente non si sarà più palesato, lasciandoci in mano la sua mail paypal e un nickname di skype piuttosto che una mail (NON sufficienti a identificarlo univocamente, spesso fittizzi). La denuncia in questi casi, non si dimostra un mezzo valido per riavere i propri soldi.
> Come difendersi:
- Non aprire un servizio automatico di vendita bitcoin basato su paypal (probabile che il giorno successivo il vostro conto venga congelato)
- Interloquire sempre con l'acquirente sui dettagli della transazione, capire se è disposto anche a pagare con metodi alternativi che potenzialmente vi proteggerebbero da chargeback. (Un no arbitrario dovrebbe come minimo allarmarvi)
- Esigere SEMPRE pagamenti da un account paypal verificato, cioè un account paypal collegato con successo ad una carta prepagata/carta di credito, in caso di problemi questa potrebbe essere la vostra unica via per risalire a chi sta dietro veramente all'account
- Diffidate da acquisti immediati di bitcoin tra i 2000€ e i 2500€ pagabili dall'acquirente solamente con paypal, anche scaglionati in pagamenti da 500€/1000€: questo è il limite annuale di ricezione per un conto verificato, uno svuotamento così improvviso da parte di un utente potrebbe essere un buon campanello d'allarme per farvi capire che forse quei soldi sono a rischio congelamento (riciclaggio o altre cose strane), e che quindi, accettandoli, potreste incorrere VOI nel futuro congelamento di questo pagamento (Paypal blocca a catena).
- Sempre nel caso di prima, solitamente queste transazioni sono difficili da accettare per un altro motivo: ovviamente anche voi avete i limiti di ricezione di 2/2.5k annuali, e rischiereste di riempirvi il conto senza poter continuare la vostra attività di vendita. Se, esprimendo questa considerazione all'acquirente lui propone il passaggio del suo account con su i soldi, NEGATE, vi sta proponendo quasi sicuramente un account pesantemente a rischio che potreste trovarvi congelato da un momento all'altro
Inoltro
La più bastarda, la tecnica che sfrutta l'anonimità del bitcoin per sparire nel nulla e lascia il venditore di bitcoin come uno scammer con possibilità di denuncia a suo carico
> Tipo di transazione: Acquisto di bitcoin
> Metodo di pagamento: Solitamente Postepay (Ma volendo può funzionare anche con paypal e direttamente con bitcoin)
> Efficacia: 5/5
> Funzionamento: Il venditore x riceve una richiesta d'acquisto di bitcoin da parte dell'acquirente y, (DETTAGLIO IMPORTANTE) l'acquirente y, quasi sempre, non chiede l'acquisto di tot BTC ma una conversione degli € che andrà a ricaricare sulla postepay di x (questa richiesta può essere sfumata in vari modi da y, in modo molto colloquiale come "ho 50€ e vorrei comprare bitcoin", oppure "mi servono 200€ di bitcoin", ecc...). Il venditore x accetta la richiesta d'acquisto e propone la sua conversione EUR/BTC all'acquirente che sarà SEMPRE E COMUNQUE d'accordo senza trattare sul prezzo. A questo punto il venditore x fornisce i dati della sua postepay all'acquirente y, che per ipotesi deve ricarica di 100€ la postepay di x.
L'acquirente y ora, si affretta a mettere in vendita un bene o un servizio dall'esatto valore di 100€, pagabile guardacaso, SOLO via postepay. A questo punto, arriverà lo pseudo-acquirente z che interessato ad acquistare il bene/servizio di y, chiederà di pagare. L'acquirente y fornirà gli estremi della postepay del venditore x, z andrà a ricarica QUELLA postepay.
Il venditore x, ricevuta la ricarica di 100€, in buona fede invierà i bitcoin all'indirizzo indicato da y. A questo punto y sparirà dalla circolazione.
Dopo un po' di tempo salterà fuori lo pseudo-acquirente z che infuriato per non aver ricevuto il bene/servizio pattuito con y si infurierà con chi ha ricevuto i soldi: il titolare della postepay (x): avrà il vostro codice fiscale che permette il vostro riconoscimento e potrà denunciarvi. Spesso non avrà modo di contattarvi, e quindi vi denuncerà a vostra insaputa. Voi solo dopo questa azione potrete mettervi in contatto con lui per chiarire l'accaduto.
Lo scammer y ovviamente si sarà premurato di nascondersi adeguatamente: spesso di lui avete solo una mail e ovviamente l'indirizzo dove avete inviato i bitcoin.
Come scritto all'inizio questo scam è effettuabile anche con altri metodi di pagamento e non necessariamente con l'acquisto di bitcoin, ma in quest'ultima transazione funziona particolarmente bene, dato che il venditore e l'acquirente non hanno bisogno di informazioni sensibili dello scammer.
> Come difendersi:
- Almeno inizialmente, diffidate da proposte d'acquisto in euro, spesso fatte in cifre tonde (50, 70, 100, 200, 500 EUR), e come per la truffa "Chargeback" interloquire sempre con l'acquirente sui dettagli della transazione, capire se è disposto anche a pagare con metodi alternativi.
- Se l'acquirente vi chiede di acquistare una somma di BTC quasi sicuramente è in buona fede, voi comunque date un prezzo al centesimo e MAI tondo (se dovete ricevere una ricarica di 50 EUR date come prezzo 50,37 EUR per es.)
- Prendendo l'esempio di prima, se con l'acquirente avete pattuito 50,37€ come cifra da ricaricare, e ricevete una ricarica di importo diverso (sia in positivo che in negativo) NON inviate BTC, ma contattate l'acquirente e chiedete chiarimenti oltre a uno scan/foto della ricevuta della ricarica. Dovete sincerarvi che sia stato davvero lui a ricaricare!
- Non ci sono molti altri consigli da dare per tutelarvi da questo tipo di truffa, se non quello di usare sempre e comunque il cervello e "testare" l'acquirente per vedere se corrisponde al profilo di uno scammer che utilizza questo metodo: non abbiate paura a domandare, se è veramente interessato all'acquisto in buona fede non avrà problemi a fornirvi risposte rapide e cristalline.
Auto-inoltro
Sulla carta, la tecnica di scam perfetta
> Tipo di transazione: Acquisto di bitcoin
> Metodo di pagamento: Postepay
> Efficacia: 6/5
> Funzionamento: Lo scam vero e proprio non avviene subito: prima, c'è un'attenta preparazione da parte dello scammer:
Lo scammer x si crea una postepay a suo nome, inizia a effettuare vendite in piena regolarità, magari utilizzando escrow per guadagnarsi reputazione nell'ambiente di vendita da lui utilizzato.
Lo scammer x crea un profilo fake y sul suo canale di vendita (Bitcointalk.org/localbitcoins/ecc...) e fa partire dall'account fake y un'acquisto di bitcoin verso il suo vero profilo.
A questo punto, lo scammer x, attraverso il profilo fake y, cerca un'acquirente z che ricarichi la sua postepay per un'importo pari alla transazione di acquisto btc da x (per facilitare le cose userá cifra tonda), offrendogli beni e servizi a prezzo particolarmente vantaggioso, un po' come accade con la truffa "inoltro".
Appena l'acquirente z ricarica la postepay dello scammer x, lui provvede immediatamente allo svuotamento, conscio del rischio di blocco carta.
Ora, lo scammer x, ha tutti gli elementi in mano per simulare la parte lesa (venditore) della truffa "inoltro": avrà un'ottimo alibi e ovviamente indirizzerà le indagini sul profilo fake y da lui creato. Del profilo fake y lo scammer, guardacaso, avrà solamente e-mail/skype e address dove ha inviato i bitcoin.
Lo scammer x si potrà giustificare quindi pure con l'acquirente z, spiegandogli, mentendo, che pure lui ha subito la truffa.
Lo scammer x, per non farsi scoprire in caso di indagine, utilizzerà proxy/tor su tutte le connessioni effettuate con il profilo fake y
Arriviamo quindi alla situazione dove se il venditore/scammer x ha sufficiente trust, riuscirà a passare TOTALMENTE INOSSERVATO. L'unico rischio che potrebbe correre in caso di denuncia/reclamo a posteitaliane da parte dell'acquirente z ancora inconsapevole, è il blocco della sua postepay, che però avrà già svuotato in modo certosino, dal momento che sarà stato, tramite il profilo fake y, in contatto con l'acquirente z e saprà dell'avvenuta ricarica.
Anche l'utilizzo di escrow sarebbe inutile, e anzi, potrebbe solamente aumentare la trust del venditore dal momento che una terza persona avrebbe modo di vedere l'effettivo passaggio di bitcoin (che, come spiegato, rimarrebbero allo scammer, dato che invierebbe i btc all'identità fake, con o senza escrow)
Se arrivasse una denuncia al titolare della postepay, lui potrebbe esporre il suo alibi alla polizia postale: qui la questione è totalmente aperta, infatti, NON è possibile dimostrare di NON possedere un indirizzo bitcoin, ergo l'alibi del truffatore potrebbe essere smascherata poiché potrebbe possedere lui l'indirizzo a cui i bitcoin sono arrivati. Questo ragionamento si applica sia ai casi in buona che in mala fede (come questo), giungiamo alla conclusione che non ci si può scagionare da un'accusa come questa
> Come difendersi:
-A differenza della truffa "inoltro", qui c'è solo una parte truffata: l'acquirente z. Di conseguenza l'unico modo per non incapparci dentro, è stare attenti a cosa acquistate, da chi acquistate, e a che prezzo state acquistando quel bene/servizio.