Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

le contromisure

Genitori Z: come limitare i danni da servizi premium sullo smartphone

Continua il nostro viaggio nelle disavventure dei genitori alle prese con figli della generazione Z, sempre connessi a internet e esposti ai suoi svariati pericoli. Cosa fare se insieme a un gioco che il pargolo ci costringe a scaricare, becchiamo anche un malware con tanto di abbonamento a servizi non richiesti

06 Ago 2019

Andrea Millozzi

Blogger, Programmatore e Maker


App che ai nostri figli appaiono come manne dal cielo perché permettono di scaricare gratis l’ultimo gioco di grido nascondono insidie che possono trasformare un semplice download in un incubo fatto di malware, phishing e abbonamenti a servizi a pagamento. Senza contare i dati sensibili dei ragazzi stipati in qualche server chissà dove.

Ecco cosa fare nel caso sia capitato anche a voi di cadere nel tranello. E sicuramente saprete di cosa parlo se anche voi come me siete genitori di figli che appartengono alla cosiddetta Generazione-Z, cioè di quei ragazzi sempre connessi ad Internet. In tal caso, infatti, avrete sicuramente subito più di una volta l’assalto vigoroso del vostro pargolo che vi avrà pregato in tutti i modi di lasciargli scaricare sul cellulare l’ultima App in voga fra i videogiocatori incalliti. Ma voi sarete stati sicuramente fermi sul punto, vero? Si sa, non si può installare software sconosciuto e quindi, potenzialmente pericoloso… macché! Alla fine, sfiniti, anche voi avrete ceduto! Il motivo di tale disfatta è chiaro ed ha un nome ben preciso: si chiama operazione “goccia cinese”.

Calcolata fin nei minimi dettagli, si basa su questi punti chiave: ripetere a manetta, ad ogni occasione, la richiesta, anche nei momenti meno opportuni, quando siete sotto la doccia o “impegnati” al bagno, in modo da destabilizzarvi e soprattutto instillarvi nella mente il nome di quell’App o di quel gioco “indispensabile”.

Lavorare ai fianchi, ininterrottamente e senza sosta, per giorni, per ore, attendendo il momento propizio per l’attacco finale: magari quando, stanchi, tornate a casa con le buste pesanti della spesa, oppure appena tornati da una dura giornata di lavoro, insomma, l’importante è che la vostra mente non sia troppo lucida, così, annebbiata e non più propensa al ragionamento spicciolo… ZACK! Ecco arrivare il colpo che vi manda a tappeto: “Dai papà, ti ricordi quel gioco di cui ti parlavo? Posso scaricarlo? E’ l’ultima volta, giuro!” e, stremati, acconsentite pur di togliervi di mezzo chi vi separa dal divano che vi aspetta per rilassarvi e concludere la giornata senza ulteriori pensieri.

Scaricata l’app, comincia il calvario

E’ così che questi “soldati inarrestabili” vi raggirano senza che ve ne rendiate conto e senza un briciolo di pietà! (purtroppo essere “parente stretto” non cambia i loro piani di una virgola!)

Alla fine è successo anche a me, ed è iniziato il calvario: e sì, perché purtroppo è inutile essere consapevoli dei rischi a cui si va incontro scaricando ed installando software anonimi, la forza di volontà dei figli in questi casi va oltre ogni possibilità di difesa! E i malintenzionati questo lo sanno bene! Motivo per cui usano a loro vantaggio ogni tecnica a disposizione per convincerli a “darci il pilotto” fino al raggiungimento dell’obiettivo, che puntuale prima o poi arriva sempre: è solo una questione di tempo… e di martellamento quotidiano!

Stavo andando dalla camera alla cucina quando mi passa accanto mio figlio con lo smartphone in mano: “grazie papà, questo gioco è F E N O M E N A L E!”, “scusa tesoro, quale gioco?”, “come papà, quello che mi hai fatto scaricare tu, ricordi?”, “certo, certo”, certo un cavolo! E’ vero, me lo ero proprio dimenticato, ma aveva ragione: gli avevo dato l’assenso io, mentre stavo sepolto dalla documentazione per la dichiarazione dei redditi, stordito dai numeri, percentuali e coefficienti vari e, come se non bastasse, contemporaneamente rispondevo a mia moglie che mi chiedeva se potevo chiamare il nonno che aveva un problema con Windows e non sapeva come fare a chiudere quella finestra popup che si ripresentava ad ogni accesso ad Internet. Insomma, avendo la testa impegnata a pensare ad altro, l’aveva fatta franca!

Così, cercando di non mostrare il fianco al nemico, chiedo con disinvoltura: “senti, ma da dove lo hai scaricato? Spero almeno che tu lo abbia fatto da Google Play, lì un minimo di controllo, almeno c’è”, “no papà, mi è arrivato il link per email: l’ho cliccato, scaricato ed installato”. Sguardo attonito e… silenzio.

Poi sbotto: “Come è arrivato un link?! Te l’ho detto mille volte che non bisogna cliccare sui link che arrivano dagli sconosciuti!!!

Così con l’ansia che mi sale, mi faccio spiegare per filo e per segno tutti i passaggi che ha seguito e scopro a malincuore una brutta, bruttissima notizia: un suo compagno di classe ha scoperto un sito dove, inserendo in un form e inviando alcuni dati (nome e cognome, cellulare, e indirizzo email), in cambio ti mandano il link da cui scaricare il software, tutto gratis, pochi click, e in un attimo hai il tuo agognato gioco! Sì, ma a che prezzo?!

Ora in qualche server nel mondo c’è qualcuno che possiede i riferimenti “sensibili” di mio figlio e dei compagni di classe (e forse della scuola?) visto che l’occasione era troppo bella per non sfruttarla, tanto che lo hanno fatto tutti: il bello è che l’amichetto che ha scoperto “il trucco” (come lo ha chiamato), avrà anche pensato di fare un bel regalo (ovviamente con amara sorpresa!).

Insomma, dopo la registrazione sul sito truffaldino, come era lecito aspettarsi, arriva per email l’allegato “da scaricare, installare e via”. La prima cosa che faccio è controllare la presenza di eventuali malware e, come ogni volta, utilizzo, sia l’antivirus installato sul PC, che gli ottimi servizi online “Virus Total” e il nuovo italianissimo “YOROI”, in grado di utilizzare più di un sistema di verifica.

Pc senza antivirus, primo passo verso la catastrofe

Purtroppo l’esito è deprimente: il file incriminato, allegato all’email ricevuta, contiene più di un malware!

Se ve lo stavate chiedendo la risposta è sì, questo è il classico attacco di phishing e, come si può vedere da questa esperienza, rimanerne vittima è proprio un attimo!

Per curiosità apro il dominio a cui fa riferimento il link dell’allegato. Subito l’antivirus installato sul PC mi blocca e sbotta con un messaggio: “Ehi tu! Dove vuoi andare!!! Questo sito è pieno di robaccia! Stai attento! Sei proprio sicuro che vuoi rimetterci le penne!?”. Ovviamente il testo non era proprio questo, ma il tono e il succo della questione, sì.

In fondo, conoscendo i presupposti, un sito pieno di script malevoli, era da aspettarselo!

Magari il danno si sarebbe potuto evitare se sul PC mio figlio  avesse caricato l’antivirus come gli avevo chiesto di fare, ma che poi, tra una cosa e l’altra, non ha mai trovato il tempo di installare. Comunque una cosa non mi tornava: se ha scaricato il file sul computer, come ha fatto ad installarlo sul telefono visto che, di norma, è necessario passare per lo Store di Google? (sì, si tratta di uno smartphone Android).

Altra mazzata! Vengo a sapere che le istruzioni inviate con l’email di phishing, spingono incautamente ad attivare prima le funzioni di “Sviluppatore” sul telefono per poi, grazie a queste nuove caratteristiche, disabilitare subito dopo la funzione di protezione contro l’installazione di App che non provengono dal Google Play. Solo così infatti è possibile poter installare software di dubbia provenienza… e farsi del male da soli! Proprio come è andata!

Se non bastasse, oltre il danno, la beffa: nell’App del gioco truffaldino appaiono dei banner pubblicitari: avendo cliccato inavvertitamente su uno di questi, è partita in automatico l’attivazione di un abbonamento di “5€ a settimana per scaricare musica e video a volontà”. Per fortuna che me ne sono accorto subito e telefonando al call center sono riuscito a disattivarlo in tempo senza ulteriori costi.

Quindi, se non ne eravate a conoscenza, state attenti perché è davvero un attimo: basta cliccare per sbaglio con il dito su un banner pubblicitario e ritrovarsi a dover pagare un abbonamento non voluto!

Infatti le principali compagnie telefoniche hanno stipulato accordi commerciali con diverse società che offrono questi “servizi”, addebitando abbonamenti periodici ai loro clienti con un semplice (e molto spesso non voluto) clic nel browser. Il costo degli abbonamenti si aggira di solito sui 5 Euro a settimana (ma arrivano anche a cifre più alte!). In pratica, l’ignaro utente, spesso minorenne, per il semplice fatto di aver cliccato un banner, si trova addebiti settimanali di un costoso abbonamento, preceduti da un messaggio SMS di avvio dell’attivazione: quindi se ricevete un SMS di questo tipo, ritenetelo un campanello di allarme e affrettatevi ad indagare la questione per intervenire in tempo e disattivarlo.

Purtroppo i clic accidentali sui banner sono all’ordine del giorno. Per logica, l’attivazione di qualsiasi abbonamento dovrebbe essere, come minimo, preceduta dal consenso del cliente, prima di confermare l’acquisto che invece, come abbiamo visto, parte in automatico: assurdo e ingiusto!

Comunque non è un problema di leggi e regolamenti, infatti l’Antitrust ha più volte sanzionato sia gestori che società di servizi, ritenendoli responsabili. Il codice del consumo prevede che il cliente sia informato dell’offerta a pagamento prima di sottoscriverla.

Gli strumenti per difendersi

Come difendersi, quindi? Ovviamente è necessario fare attenzione a dove si mette il dito: fino a quando il dito è il nostro, tutto ok, ma se invece lo smartphone o il tablet vengono presi in ostaggio dai figli, allora in questo caso conviene impostare la funzione “aereo” e disabilitare ogni tipo di connessione per risolvere alla radice qualsiasi problema.

Quando però, come spesso accade, il gioco o l’App richiedono la connessione Internet per funzionare, il modo più semplice per non incappare nell’attivazione di questo genere di servizi è navigare tramite WiFi (senza sfruttare così la rete dati GSM). Questo sistema evita la richiesta di connessione al DNS del fornitore mobile, non permettendo che la procedura di riconoscimento del numero chiamante vada a buon fine.

Anche utilizzare la modalità desktop sul cellulare (o sul tablet) può essere un modo per ingannare i servizi a sovraprezzo degli operatori mobili. Si tratta di servizi creati ad hoc per chi naviga tramite smartphone: utilizzando la versione desktop dei siti si può ragionevolmente stare tranquilli. Purtroppo questa strada non è sempre percorribile: infatti non tutti i siti permettono la corretta visualizzazione in modalità non responsive.

Se, nonostante tutte le accortezze, il danno va comunque a compimento, attenzione: vi arriverà un SMS in cui, tra le altre cose, vi sarà indicato un numero di telefono da chiamare nel caso vogliate disdire l’abbonamento. Non chiamatelo assolutamente! Potrebbe trattarsi di numerazioni a sovrapprezzo, così rischiate di rimetterci due volte!

Contattate invece, immediatamente, il vostro gestore telefonico e chiedetegli la disattivazione del servizio indesiderato contestualmente al relativo rimborso dell’importo fraudolentemente addebitato.

Se l’operatore per qualche motivo non dovesse acconsentire, rivolgetevi al Co.Re.Com. e richiedete di avviare un tentativo di conciliazione.

Un altro strumento a vostra disposizione è la segnalazione. Nel caso siate vittime di un addebito illegittimo, raccontate la vostra esperienza all’Antitrust, l’autorità garante della concorrenza e del mercato: è facile, basta andare sul sito e inviare la segnalazione. Non vi verrà rimborsato il denaro, ma almeno l’Antitrust potrà emanare delle sanzioni contro il gestore che in futuro sarà più invogliato a rispettare il consumatore. Avete tempo sei mesi dal fatto.

Altra richiesta da fare al gestore è quella di bloccare tutti i servizi a pagamento. Potete chiedere all’operatore di disattivare gli abbonamenti già attivi e anche quelli futuri, ma per essere proprio sicuri, meglio inviare alla compagnia telefonica una raccomandata di diffida in cui si domanda la restituzione del denaro prelevato tramite l’addebito in bolletta o tramite ricarica e si intima la disattivazione di tutti i servizi non richiesti. Volendo si può fare anche un reclamo per posta elettronica pec o via fax, ma l’email o il numero devono essere quelli della sede legale, dati che si trovano sui siti ufficiali (meglio non affidarsi, per questo, a quello che vi dicono al call center).

È bene comunque, avere sempre qualcosa di scritto in mano. Se si fa richiesta al telefono, i gestori potrebbero negare di aver ricevuto la telefonata. Per questo motivo è anche consigliabile scattare qualche screenshot della pagina incriminata e dei vari messaggi di testo ricevuti.

Potrebbe essere utile anche inserire in blacklist i vari indirizzi web e i numeri di telefono che fanno capo a questi servizi di cui siete stati vittima, in modo da impedire loro qualsiasi possibilità di riattivazione.

Le contromisure dell’Autorità

C’è comunque una buona notizia: per fortuna le Istituzioni non sono rimaste a guardare, anzi, con la delibera n.108/19/CONS del 5 aprile 2019, l’Autorità per le Garanzie nelle Comunicazioni (Agcom), ha approvato un nuovo regolamento, giunto alla quarta versione (Codice di Condotta per l’offerta dei Servizi Premium CASP 4.0), che introduce nuove misure a tutela dei consumatori riguardo ai cosiddetti Servizi Premium, detti anche VAS (Servizi a valore aggiunto).

Tra le altre cose è stato attivato un numero verde, quindi gratuito (800442299), che basta chiamare per accedere al cosiddetto “Centro Unico di Disattivazione“. Dopo essere stati avvisati dell’eventuale registrazione della telefonata e averci rassicurato sul trattamento dei dati personali, la voce guida effettua una verifica dei servizi premium attivi sul numero chiamante, per poi segnalarci la presenza o meno di servizi a sovrapprezzo attivi sulla numerazione in questione: utile e pratico!

Oltre al numero verde, è stata anche attivata un’apposita email alla quale potete inviare eventuali criticità in cui vi siete imbattuti nell’utilizzo delle procedure di acquisto proposte dagli operatori e dai content service provider.

Ricordate comunque che la richiesta di rimborso è legittima solo se l’attivazione del servizio premium è considerato davvero inconsapevole: e cioè quando non sussistono i log di acquisto o attivazione, il doppio click del cliente sui tasti “Clicca e conferma” e “Clicca e Abbonati” e l’invio dell’SMS informativo di attivazione/acquisto (cosiddetto Welcome SMS), per i servizi in abbonamento o acquisti one shot.

Il Codice di Condotta dell’Agcom introduce anche uno schema minimo per gli SMS informativi, di attivazione, di reminder e di disattivazione, inviati ai clienti. Per quanto riguarda il messaggio di avvenuta attivazione, questo deve contenere come minimo:

  • nome del servizio fornito dal CSP;
  • abbonamento attivo/servizio acquistato al costo di Y,XX€ al giorno/settimana/mese;
  • descrizione del servizio (massimo 50 caratteri);
  • l’indicazione del numero 800442299 da chiamare per disattivare o avere informazioni;
  • indicazione dell’url.

Insomma sembra che, dopo tante lamentele, finalmente la voce dei consumatori sia stata ascoltata: quindi ora se vi arriva un SMS con un messaggio del tipo “Una bomba sexy ogni settimana” o “Solo musica TOP in MP3”, ecc. sapete che potete sfruttare il “Centro Unico di Disattivazione” per correre subito ai ripari e disabilitare tutti i servizi attivati e non richiesti.

Per concludere, abbiamo visto che tutto il discorso, e tutti i problemi, sono nati dal fatto che un amichetto di mio figlio ha utilizzato un’App che ai suoi occhi è sembrata una manna dal cielo: basta inserire pochi dati personali per ottenere un videogioco di grido, perché non farlo? Lo schema dei furfanti ha messo in atto una procedura che bypassa alla grande qualsiasi antivirus o sistema di protezione.

La verità è che non c’è tecnologia che tenga, la prima difesa in assoluto nel caso di cybercrime, è il dialogo. Parlare dei rischi e come si è fatto a superarli (mettendo in atto le buone pratiche), con i figli, con i parenti e con gli amici, alla fine si dimostra essere la strategia davvero vincente. Quindi parlate, parlate e… condividete!

@RIPRODUZIONE RISERVATA

Articolo 1 di 4