Exchange e app clone
Come Riconoscere Exchange e App Clone Fraudolente
I truffatori replicano grafica, tono e flussi di piattaforme legittime (es. exchange noti) creando siti o app quasi identici con URL molto simili all’originale. La registrazione avviene tramite pagine KYC fasulle e la dashboard mostra saldi e profitti credibili. Al momento del prelievo, l’utente viene bloccato con richieste di “tasse”, “assicurazioni”, “KYC premium” o con errori tecnici pilotati. Il “supporto” è inesistente o serve solo a ottenere ulteriori pagamenti.
Queste piattaforme usano domini giovani, hosting off-shore e canali social/fake ads per generare traffico. Spesso reindirizzano su gateway di pagamento non verificati o wallet controllati dai truffatori. Una volta ottenuti i fondi, l’operatore cambia dominio o spegne il sito per cancellare tracce.
Riconoscere la truffa in corso
⚠️ Segnali di allarme
- URL con differenze minime (lettere invertite, sottodomini strani, TLD insoliti)
- KYC “alleggerito” o richieste extra non previste dall’originale
- Assistenza solo via chat/WhatsApp, nessun canale ufficiale verificabile
- Richieste di pagamenti aggiuntivi per sbloccare prelievi o verifiche “premium”
- Certificati SSL validi ma intestazioni WHOIS/DNS opache o recentissime
🎭 Come agiscono i truffatori
- Acquisiscono traffico con annunci sponsorizzati e SEO su brand noti
- Replicano l’interfaccia dell’exchange e mostrano saldi/ordini verosimili
- Consentono micro-prelievi all’inizio per costruire fiducia
- Bloccano prelievi superiori chiedendo “tasse/assicurazioni/KYC premium”
- Ruotano domini e provider per eludere segnalazioni e blacklist
⚡ Cosa fare subito
- Non inviare altri fondi e non caricare nuovi documenti sulla piattaforma sospetta
- Mantenere il contatto solo per acquisire prove (senza minacciare o allertare il truffatore)
- Non improvvisare test tecnici o contestazioni pubbliche che possano far spegnere il sito
- Salvare le evidenze: URL completi, WHOIS, DNS, pagine di login/dashboard, conversazioni, indirizzi/wallet e tx hash
- Abilitare 2FA sugli account veri e cambiare password eventualmente riutilizzate
Cosa fare se la truffa è già avvenuta
- Contattarci per valutare se è economicamente utile un tentativo di recupero (importo, tracciabilità on-chain, giurisdizioni e attori)
- Raccogliere prove con valore legale (pagine acquisite integralmente con metadati, hash e marca temporale; profili social/ads collegati)
- Preparare la denuncia alla Polizia Postale includendo cronologia, domini, indirizzi wallet, transazioni, gateway di pagamento e comunicazioni
- Inviare diffide a tutti gli attori e intermediari tecnici (provider hosting, registrar, privacy office, ICANN, piattaforme pubblicitarie e social)
Leggi la guida completa sugli attori coinvolti →
Errori da evitare: consigli educativi
-
Controllare sempre l’URL carattere per carattere
Salvare i siti ufficiali nei preferiti. I truffatori usano domini quasi identici (es. “binance” vs “binаnce” con carattere cirillico).
-
Non seguire link da pubblicità o messaggi privati
Cercare sempre direttamente il sito su motore di ricerca e verificare che corrisponda al dominio ufficiale. Anche gli annunci sponsorizzati possono essere falsi.
-
Non inviare documenti a piattaforme non verificate
Verificare sempre licenze e società nei registri ufficiali (CONSOB, FCA, CySEC). Il KYC su siti fake espone al furto d’identità.
-
Testare i prelievi con somme minime
Prima di aumentare il deposito, verificare che i prelievi funzionino davvero. I truffatori permettono micro-prelievi iniziali per costruire fiducia.
-
Abilitare 2FA e usare password uniche
Non riutilizzare password, usare un password manager, evitare condivisione schermo con sconosciuti che potrebbero vedere i codici 2FA.
-
Verificare dominio e infrastruttura
Controllare anzianità dominio (WHOIS), DNS, hosting. Attenzione a domini registrati da pochi giorni e privacy masking sospetto (senza contatti reali).