Truffe, informazioni sulle minacce

All'interno di una rete di oltre 20.000 negozi fasulli

di Stefan Dasic | 18 marzo 2026
Negozi falsi clonati

Abbiamo individuato una vasta rete di siti fasulli composta da oltre 20.000 domini, decine di indirizzi IP condivisi e pagine di negozio identiche con nomi diversi semplicemente incollati sopra. Il loro unico scopo è quello di rubare i tuoi dati di pagamento e le tue informazioni personali. Il filo conduttore che li accomuna tutti è il titolo di una scheda del browser a cui la maggior parte delle persone non presterebbe alcuna attenzione:«Una selezione impareggiabile solo per te».

Vetrine lucide, magazzini vuoti

I negozi fasulli sono siti web fraudolenti progettati per sembrare dei normali rivenditori online. Presentano elenchi di prodotti, loghi di marchi, recensioni dei clienti, carrelli della spesa e pagine di pagamento dall’aspetto funzionante. Semplicemente, non mantengono mai le promesse fatte. In alcuni casi, le vittime non ricevono nulla. In altri, ricevono un’imitazione scadente che vale solo una frazione del prezzo pubblicizzato.

In ogni caso, il prodotto in vendita sono i tuoi dati: questi negozi fasulli raccolgono le tue credenziali di pagamento, gli indirizzi di fatturazione e i dati personali per poi rivenderli su mercati illegali o utilizzarli direttamente per commettere frodi d'identità.

La portata del problema è aumentata in modo esponenziale. Secondo recenti dati di intelligence sulle minacce, nel primo trimestre del 2025 le truffe legate a negozi online fasulli sono aumentate del 790% rispetto allo stesso periodo dell’anno precedente, in parte a causa delle preoccupazioni economiche legate ai dazi commerciali che spingono i consumatori verso alternative più economiche.

Solo durante le festività natalizie del 2024, i ricercatori hanno individuato oltre 80.000 negozi falsi, molti dei quali sono scomparsi o hanno cambiato nome nel giro di pochi giorni. I dati di monitoraggio del settore relativi alla fine del 2025 hanno rivelato che i negozi falsi rappresentavano il 65% di tutte le minacce bloccate sui social media, con Facebook YouTube principali piattaforme di lancio.

Queste operazioni sono sempre più industrializzate. Alcuni ricercatori hanno recentemente documentato FraudWear, una campagna coordinata che coinvolge oltre 30.000 negozi fraudolenti che si spacciano per più di 350 marchi di moda in tutto il mondo.

Un'altra indagine ha portato alla luce BogusBazaar, una rete in stile franchising in cui un team centrale gestiva i server, l'elaborazione dei pagamenti e l'infrastruttura dei modelli, mentre operatori decentralizzati creavano singoli negozi su tale piattaforma. Dal 2021, quella rete ha elaborato oltre un milione di ordini su 75.000 domini.

I negozi fasulli hanno successo perché sfruttano comportamenti di acquisto familiari: cliccare sugli annunci, seguire i risultati di ricerca e arrivare su siti dall’aspetto curato. A ciò aggiungono una pressione psicologica, con offerte a tempo limitato, contatori alla rovescia e avvisi di esaurimento delle scorte.

Stesso negozio, nomi diversi

Nel corso di un'indagine su domini di e-commerce sospetti, abbiamo individuato un gruppo di oltre 20.000 siti che presentavano caratteristiche infrastrutturali comuni.

La maggior parte ha utilizzato il dominio di primo livello (TLD) .shop, diventato uno dei preferiti dai truffatori grazie alle tariffe di registrazione economiche e al nome dall’aspetto plausibile. Secondo i dati sulla sicurezza delle e-mail di Cloudflare, l’estensione .shop figura ora tra i principali TLD associati a spam e attività dannose.

Analizzando il codice sorgente della pagina è emerso ciò che accomuna questi siti. Tutti funzionano su WordPress e sono gestiti da Sellvia, una piattaforma di e-commerce affidabile con sede negli Stati Uniti che consente agli utenti di aprire rapidamente un negozio in dropshipping grazie a modelli predefiniti, cataloghi di prodotti e servizi di elaborazione dei pagamenti.

Le pagine web dei negozi utilizzano i temi di Sellvia e recuperano le immagini dei prodotti dalla sua rete. I sei modelli "diversi" che abbiamo osservato sono in realtà solo due temi di base con variazioni estetiche. Ecco alcuni esempi, presentati a coppie per illustrare come lo stesso modello appaia con marchi completamente diversi.

Immagine di sinistraImmagine di destra
Immagine di sinistraImmagine di destra
Immagine di sinistraImmagine di destra
Immagine di sinistraImmagine di destra
Immagine di sinistraImmagine di destra
Immagine di sinistraImmagine di destra

20.000 domini, 36 indirizzi IP

Al di là delle somiglianze visive, questi negozi fasulli condividono una struttura infrastrutturale comune. Tutti gli oltre 20.000 domini puntano a un insieme di soli 36 indirizzi IP.

Questo livello di concentrazione non è tipico dei rivenditori online legittimi. È una caratteristica distintiva delle operazioni fraudolente su larga scala, in cui un gruppo gestisce i server e i modelli, mentre singoli operatori creano domini su di essi.

Gran parte di questa attività si concentra su un numero limitato di intervalli IP, tra cui i blocchi negli spazi 207.244.x.x e 23.105.x.x. Tale concentrazione indica una preferenza per specifici provider di hosting e una configurazione pensata per la velocità: creare un dominio, applicare un modello, pubblicarlo online.

Questo riflette il modello in stile franchising che si riscontra in altre reti di negozi fittizi. Un gruppo centrale gestisce i server, i modelli e le impostazioni di pagamento, mentre gli operatori registrano i domini e lanciano i siti web. Quando un sito viene segnalato o chiuso, un altro prende il suo posto.

Ma proprio questa concentrazione rappresenta anche un punto debole: basta mettere fuori uso un piccolo numero di server per rendere inaccessibili migliaia di siti.

Come proteggersi dai negozi fasulli

Questi negozi fasulli non sono attività indipendenti. Fanno parte di operazioni su larga scala, ripetibili, pensate per sembrare credibili, agire in fretta e scomparire altrettanto rapidamente.

Se un sito ti sembra sospetto, affrettato o troppo bello per essere vero, trattalo come tale. Bastano pochi secondi in più per controllare e questo può impedirti di consegnare i tuoi soldi e i tuoi dati ai criminali informatici.

  • Utilizza la protezione del browser. Strumenti come Malwarebytes Browser Guard possono bloccare i siti noti per le truffe prima ancora che tu arrivi alla pagina di pagamento.
  • Controlla attentamente il dominio. Fai attenzione alle estensioni poco conosciute come .shop, .top, .store e .xyz, soprattutto se abbinate a nomi generici che sembrano nomi di marchi. Se non hai mai sentito parlare del rivenditore, questo è il primo segnale.
  • Diffidate degli sconti troppo vantaggiosi. Se un articolo è esaurito ovunque ma viene venduto a un prezzo fortemente scontato su un sito sconosciuto, si tratta di una trappola.
  • Fai attenzione ai siti che sembrano copiati e incollati. Se più siti presentano layout, immagini dei prodotti e banner identici ma con nomi diversi, è probabile che stiano utilizzando lo stesso modello. I negozi affidabili non funzionano in questo modo.
  • Cerca recensioni indipendenti. Cerca il nome del negozio insieme a termini come «recensione» o «truffa». Se gli unici risultati sono il sito stesso, questo la dice lunga.
  • Non ignorare il tuo istinto. Se qualcosa ti sembra strano, fermati. Non inserire i tuoi dati di pagamento solo per «vedere cosa succede».
  • Utilizza metodi di pagamento più sicuri. Le carte di credito offrono una protezione maggiore rispetto alle carte di debito. Le carte virtuali o i servizi di pagamento possono aggiungere un ulteriore livello di protezione tra i tuoi dati e il venditore.

Consiglio da esperto: Malwarebytes blocca questi domini in quanto fraudolenti.

Indicatori di compromesso (IOC)

Indirizzi IP

  • 108.59.1.151
  • 108,59,12,118
  • 108,59,14,13
  • 108,59,8,97
  • 108.62.0.220
  • 108,62,116,82
  • 108,62,117,45
  • 162.210.195.105
  • 162.210.195.113
  • 162.210.198.37
  • 162.210.199.12
  • 162.210.199.183
  • 162.210.199.235
  • 192.96.200.81
  • 198.7.58.168
  • 198.7.58.87
  • 199.115.115.2
  • 207.244.102.13
  • 207.244.109.109
  • 207.244.126.106
  • 207.244.126.19
  • 207.244.126.21
  • 207.244.67.158
  • 207.244.69.201
  • 207.244.71.143
  • 207.244.89.198
  • 207.244.91.203
  • 23,105,160,43
  • 23.105.172.14
  • 23.105.8.15
  • 23/10/2017
  • 23/10/2019
  • 23/82/11/26
  • 23,82,13,161
  • 23,82,13,34
  • 5,79,69,45

Non ci limitiamo a segnalare le truffe, ma aiutiamo a individuarle.

I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Se qualcosa ti sembra sospetto, verifica se si tratta di una truffa utilizzando Malwarebytes Guard. Invia uno screenshot, incolla il contenuto sospetto o condividi un link, un testo o un numero di telefono e ti diremo se si tratta di una truffa o di qualcosa di legittimo. Disponibile con Malwarebytes Premium per tutti i tuoi dispositivi e Malwarebytes per iOS Android.

Informazioni sull'autore

Stefan Dasic

Stefan Dasic

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.

ULTIMI ARTICOLI

Insetti
Mela

Apple risolve un bug di WebKit che avrebbe potuto consentire ai siti web di accedere ai tuoi dati

Marzo 18, 2026

Apple ha rilasciato un aggiornamento di sicurezza in background che risolve in modo silenzioso una vulnerabilità di WebKit (CVE-2026-20643).

Truffe
Sito falso di Pudgy World

Il sito falso "Pudgy World" ruba le tue password delle criptovalute

Marzo 17, 2026

Il sito di phishing non è affiliato né a Igloo Inc né a Pudgy Penguins, ma è stato creato per attirare i fan e rubare le loro password delle criptovalute.

Mobile
Un cavallo di Troia su ruote irrompe nello schermo di uno smartphone

Google interviene contro Android che abusano delle funzionalità di accessibilità

Marzo 17, 2026

Da anni ormai il malware sfrutta le funzioni di accessibilità Android. Google ha appena reso tutto questo molto più difficile.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe