La rete internazionale che finge di vendere abbonamenti ai trasporti pubblici e per ottenere i dati della tua carta di credito

Questo articolo è stato pubblicato originariamente su Maldita.es in spagnolo il 16 luglio 2025

Da Dakar in Senegal ad Astana in Kazakistan si ripete lo stesso schema: circolano su Facebook pagine che fingono di essere servizi di trasporto pubblico locali e offrono abbonamenti a prezzi molto bassi. E così inizia la truffa. L’obiettivo reale è quello di indirizzare gli utenti verso siti web di phishing per rubare i dati delle loro carte di credito. Nella nostra inchiesta, abbiamo identificato 1.075 pagine che hanno replicato questa truffa tra luglio 2024 e luglio 2025 in 746 città e regioni di 60 Paesi diversi.

Non solo la portata di questa truffa è globale, ma lo è anche la sua struttura. Secondo i dati forniti da Meta, si ritiene che più della metà degli amministratori di queste pagine si trovi in Vietnam, mentre la maggior parte dei domini è ospitata su soli due indirizzi IP dello stesso provider in Russia.

In questa truffa, il sistema pubblicitario di Meta gioca un ruolo chiave. Sebbene queste pagine abbiano generalmente pochi follower, molte sono riuscite a diffondere massicciamente i loro post di phishing grazie a oltre 9.000 annunci a pagamento su Facebook e Instagram. Sebbene Meta abbia rimosso almeno un annuncio sul 55 per cento di queste pagine per aver violato le regole pubblicitarie della piattaforma, tutte le pagine erano ancora accessibili al pubblico al momento della raccolta dei dati (luglio 2025), anche mesi dopo la loro attività iniziale.

Una struttura internazionale con lo scopo di truffare 

Al di là del contenuto dei post promossi, Meta aveva altri segnali di allarme che indicavano che non si trattava di un caso isolato, ma piuttosto di reti coordinate che avrebbero potuto essere oggetto di un intervento misurato. Quasi una pagina su cinque ha cambiato nome ad un certo punto e molte sono state riciclate per offrire presunti servizi di trasporto in diverse città. Ad esempio, una pagina inizialmente si presentava come l’agenzia di trasporto pubblico di Le Havre (Francia), ma in seguito si è trasformata nella presunta compagnia di trasporti di Peterborough, nel Regno Unito.

Inoltre, altre pagine seguivano schemi di denominazione ripetitivi prima di essere attivate per la truffa.

Si tratta di una truffa internazionale, e non solo perché colpisce 60 Paesi, ma anche perché la struttura di coloro che la mettono in atto sembra essere diffusa in tutto il mondo. Meta fornisce i dati di localizzazione degli amministratori di molte di queste pagine fraudolente che fingono di offrire servizi di trasporto locale, e solo in un caso la localizzazione dell’amministratore corrisponde al paese dichiarato dalla pagina. Al contrario, ci sono casi come quello del presunto sistema di trasporto pubblico di Brighton, nel Regno Unito, gestito da due amministratori con sede in Thailandia e Vietnam.

Dei 515 amministratori di cui Meta fornisce la posizione, più della metà si trova in Vietnam. I Paesi più comuni dopo il Vietnam sono l’Ucraina, il Bangladesh e gli Stati Uniti.

Sebbene solo sette degli amministratori con dati di localizzazione disponibili (1,3 per cento) si trovino in paesi dell’Unione europea, il 68 per cento delle pagine fraudolente impersona servizi di trasporto pubblico situati all’interno dell’UE. I Paesi con il maggior numero di pagine rilevate sono Francia, Spagna, Regno Unito e Italia. Barcellona è stata la città più colpita al mondo, con oltre 20 pagine diverse che tentavano di impersonare il servizio di trasporto pubblico locale.

A giugno abbiamo segnalato a Meta 58 pagine Facebook fraudolente che promuovevano le loro truffe tramite annunci pubblicitari in Spagna. Abbiamo utilizzato i meccanismi di segnalazione previsti dal Digital Services Act (DSA) dell’Unione europea, ma una settimana dopo il 93 per cento di quelle pagine era ancora attivo.

Una tendenza simile, incentrata sull’Europa, si riscontra nell’uso delle piattaforme pubblicitarie di Meta per promuovere la truffa. Secondo l’archivio pubblicitario di Meta, delle oltre 9.100 inserzioni pubblicate da queste pagine, solo 20 provenivano da Paesi non europei.

Domini con sede in Russia

Secondo le informazioni di Meta, le pagine fraudolente sono gestite da oltre 30 Paesi diversi, con il Vietnam che appare più frequentemente. Ma analizzando i link promossi in questi post, emerge un altro paese chiave: la Russia.

L’obiettivo di queste pagine è quello di indurre le persone a cliccare su un link che porta a un sito web dove agli utenti viene chiesto di inserire il numero della loro carta di credito, presumibilmente per pagare un abbonamento di trasporto scontato. In base alla nostra analisi, più della metà di queste pagine Facebook rimanda a domini ospitati su due soli indirizzi IP, entrambi appartenenti allo stesso provider in Russia.

590 delle 1.075 pagine Facebook rilevate e coinvolte nella truffa promuovevano link a domini ospitati dallo stesso provider russo, JSC Selectel, che condivideva lo stesso server su due indirizzi IP e registrazioni DNS. Se a questo si aggiunge il fatto che i contenuti erano quasi identici, adattati solo alla città di destinazione, e che gli annunci seguivano gli stessi modelli promozionali, si può dedurre che le pagine fossero gestite dalla stessa persona o organizzazione.