Truffe, informazioni sulle minacce

Truffa di rimborso che si finge Avast per raccogliere i dati delle carte di credito

di Stefan Dasic | 24 febbraio 2026
Sito di phishing falso Avast

Un sito web fraudolento che si finge Avast sta ingannando gli utenti francofoni, convincendoli a fornire i dati completi della loro carta di credito (numero della carta, data di scadenza e codice di sicurezza a tre cifre) con la scusa di elaborare un rimborso di 499,99 € che non è mai stato loro dovuto.

L'operazione combina il "supporto" tramite chat live, un importo di transazione allarmante hardcoded e una replica convincente dell'identità visiva di Avast per creare urgenza e raccogliere dati di pagamento su larga scala.

"Oggi ti sono stati addebitati 499,99 €".

La pagina di phishing si apre con quello che sembra essere un portale web Avast legittimo. Il logo Avast viene caricato direttamente dalla rete di distribuzione dei contenuti di Avast, un tocco deliberato che garantisce la perfetta resa dello scudo arancione e bianco e supera un controllo visivo casuale. L'intestazione della pagina offre collegamenti a "Home", "Il mio account" e "Aiuto", tutti stilizzati in modo da corrispondere all'interfaccia reale di Avast.

Sotto l'intestazione, un riquadro di avviso nel caratteristico colore arancione di Avast attira l'attenzione: le richieste di cancellazione devono essere presentate entro 72 ore, recita il messaggio. Subito dopo, nello stesso riquadro, avverte che le transazioni più vecchie di 48 ore "non possono più essere cancellate". La contraddizione interna è facile da trascurare quando l'attenzione è concentrata sulla dichiarazione più importante appena sotto.

Tale richiesta è una registrazione di transazione che riporta la data odierna e un addebito di -499,99 €. La data non è codificata in modo fisso. Una singola riga di JavaScript legge l'orologio di sistema locale del visitatore e scrive la data corrente nella pagina al momento del caricamento. Ogni volta che arriva una vittima, che sia un martedì di febbraio o un venerdì di agosto, l'addebito sembra essere avvenuto proprio quella mattina.

L'importo, tuttavia, è fisso. Ogni visitatore vede esattamente -€499,99, una somma scelta con cura per essere abbastanza alta da provocare un'azione immediata, ma non così alta da compromettere la credibilità di un abbonamento software.

Non c'è nessuna transazione reale. Nessun account Avast è stato violato. Il numero esiste solo per far sentire il visitatore derubato.

Cosa richiede il modulo e dove vengono inviati i dati

Il modulo di cancellazione sottostante richiede di specificare il motivo del rimborso (un menu a tendina offre le opzioni "Rimborso Avast", "Transazione fraudolenta", "Transazione duplicata" e "Altro"), seguito da una serie completa di informazioni personali: nome, cognome, indirizzo e-mail, numero di telefono, indirizzo, città, regione e codice postale. La compilazione di questa sezione è presentata come una normale verifica dell'identità, necessaria, secondo quanto indicato nella pagina, prima che qualsiasi rimborso possa essere elaborato.

Una volta inviato il modulo, appare una finestra di dialogo dal titolo "Informazioni sulla carta". La pagina richiede il numero della carta di credito della vittima, la data di scadenza e il codice di sicurezza CVV, presumibilmente per poter accreditare il rimborso sul metodo di pagamento originale.

Informazioni sulla carta
Sito Avast falso: richiesta delle informazioni della carta di credito della vittima

Questo è il momento verso cui l'operazione si è diretta.

La pagina implementa anche la convalida dell'algoritmo di Luhn (il controllo matematico utilizzato dalle banche per verificare i numeri delle carte) in modo che i numeri di prova o gli errori di battitura accidentali vengano rifiutati prima dell'invio. Vengono accettati solo i numeri di carta strutturalmente validi.

Quando si fa clic sul pulsante Conferma, il browser invia una richiesta POST a send.php, un file backend che riceve l'intero payload come oggetto JSON. Tale payload contiene tutti i campi compilati dalla vittima: nome, indirizzo, recapiti, numero della carta, data di scadenza e CVV.

Dopo l'invio dei dati, la vittima viene reindirizzata a una pagina di conferma che recita:

"La tua richiesta è in fase di elaborazione. Grazie per la tua richiesta."

Sotto quel messaggio rassicurante c'è un pulsante con la scritta "Disinstallazione di Avast". Un ultimo tentativo di ingegneria sociale per incoraggiare la vittima a rimuovere proprio quel software di sicurezza che altrimenti potrebbe avvisarla di ciò che è appena successo.

La tua richiesta è in fase di elaborazione
Sito Avast falso: la tua richiesta è in fase di elaborazione

Perché c'è una chat live su una pagina di phishing?

Ciò che distingue questa campagna da molte pagine di phishing è la presenza di un widget di chat live in tempo reale incorporato nell'angolo in basso a destra dello schermo. Il widget è fornito da Tawk.to, una piattaforma di assistenza clienti legittima, e reca l'identificativo dell'account 689773de2f0f7c192611b3bf con codice widget 1j27pp82q.

Ciò significa che qualcuno (quasi certamente gli operatori del sito di phishing) può vedere quando un visitatore è sulla pagina e coinvolgerlo in una conversazione dal vivo.

Il valore tattico è significativo. Un visitatore confuso che nota la discrepanza temporale ("72 ore" contro "48 ore") o che esita prima di inserire i dati della carta può essere incoraggiato da un "agente dell'assistenza" che offre rassicurazioni in tempo reale.

Trasforma una pagina di phishing statica in un'operazione fraudolenta interattiva.

A chi è destinata questa pagina?

Ciò che rende questa pagina particolarmente efficace è che non deve rivolgersi a un tipo specifico di persona. È stata creata per attirare quattro tipi di visitatori completamente diversi con lo stesso modulo, ciascuno con un motivo diverso per compilare il modulo.

  • Il cliente Avast: qualcuno che ha acquistato una licenza, non desidera rinnovarla e considera questa pagina come un canale legittimo per contestare l'addebito. Il rapporto esistente con il marchio rende l'interfaccia familiare.
  • L'abbonato dimenticato: possiede un account Avast ma non ricorda di essersi registrato. Forse è successo anni fa o era incluso in un altro prodotto. Vede -€499,99, conclude che gli è stato addebitato un importo errato e non pensa nemmeno di accedere a un account che ricorda a malapena di avere.
  • Il non cliente allarmato: non ha mai utilizzato Avast. Vede l'addebito e presume che i dati della sua carta siano stati rubati e utilizzati a sua insaputa. Arriva già convinto che sia stato commesso un reato ai suoi danni, già di fretta e già pronto a fidarsi di qualsiasi procedura dall'aspetto ufficiale che gli venga proposta per risolvere il problema. Questo è il profilo più pericoloso, poiché il periodo di 72 ore non è solo un dettaglio per lui, ma sembra piuttosto una scadenza.
  • L'opportunista: qualcuno che sa di non essere stato addebitato, ma crede di aver trovato 499,99 € in attesa di essere reclamati. Tenta di riscuotere denaro che non gli è mai appartenuto, solo per perdere i dati della propria carta nel processo.

La pagina non deve mai distinguere tra questi visitatori. Non pone domande che potrebbero rivelare a quale profilo appartiene una persona. Nessun login, chiave di licenza o prova d'acquisto. Solo un addebito, un modulo e un campo per la carta.

Come capire se una pagina di rimborso è una truffa

Le truffe relative ai rimborsi come questa non riguardano solo Avast. Qualsiasi marchio può essere oggetto di furto d'identità. Ecco alcuni segnali di allarme a cui prestare attenzione:

  • Un addebito che non riconosci e che appare "oggi": i truffatori spesso inseriscono automaticamente la data corrente per far sembrare la transazione urgente e reale.
  • windows di cancellazione urgenti: i messaggi che affermano che hai poco tempo per agire sono pensati per spingerti ad affrettarti.
  • Richieste dei dati completi della carta di credito per "elaborare" un rimborso: i rimborsi legittimi non richiedono di reinserire il numero completo della carta e il CVV su una pagina casuale.
  • Non è richiesto alcun login, chiave di licenza o prova d'acquisto: sono le aziende reali a verificare il tuo account. Le pagine truffaldine saltano la verifica e passano direttamente ai dettagli di pagamento.
  • Chat live che ti spinge a completare il processo: la rassicurazione in tempo reale da parte di un "agente dell'assistenza" può essere parte della truffa, non una prova della legittimità del sito.
  • Istruzioni per disinstallare il software di sicurezza: nessun processo di rimborso autentico richiederà mai la rimozione della protezione.
  • Domini simili: nomi di siti web leggermente modificati sono un importante campanello d'allarme. Digita sempre l'indirizzo ufficiale del sito web dell'azienda direttamente nel browser invece di cliccare sui link.

Se noti anche solo uno di questi segnali, dovresti fermarti. Non inserire informazioni personali o finanziarie in una pagina a cui sei arrivato tramite un messaggio non richiesto o un link sospetto.

Cosa fare se hai inserito i tuoi dati

Se hai inviato i dati della tua carta:

  • Contatta immediatamente la tua banca o l'emittente della carta e blocca la carta.
  • Contesta eventuali addebiti non autorizzati
  • Non aspettare che si verifichi una frode: i dati delle carte rubate vengono spesso utilizzati rapidamente.
  • Modifica le password degli account collegati all'indirizzo e-mail che hai fornito.
  • Esegui una scansione completa con un prodotto di sicurezza affidabile.

Altri modi per stare al sicuro:

  • Mantieni aggiornati il tuo dispositivo e il software
  • Utilizza una protezione anti-malware attiva con protezione web abilitata
  • Se non sei sicuro che si tratti di una truffa, Malwarebytes possono inviare messaggi sospetti a Scam Guard per una verifica.

Non ci limitiamo a segnalare le truffe, ma aiutiamo a individuarle.

I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Se qualcosa ti sembra sospetto, verifica se si tratta di una truffa utilizzando Malwarebytes Guard. Invia uno screenshot, incolla il contenuto sospetto o condividi un link, un testo o un numero di telefono e ti diremo se si tratta di una truffa o di qualcosa di legittimo. Disponibile con Malwarebytes Premium per tutti i tuoi dispositivi e Malwarebytes per iOS Android.

Informazioni sull'autore

Stefan Dasic

Stefan Dasic

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.

ULTIMI ARTICOLI

AI
Logo OpenClaw

OpenClaw: che cos'è e si può usare in modo sicuro?

Febbraio 23, 2026

OpenClaw è un argomento molto dibattuto al momento. Ma cos'è e come è possibile utilizzare l'assistente AI 24/7 in modo sicuro?

Notizie
ricordare le password

I gestori di password mantengono le tue password al sicuro, a meno che...

Febbraio 23, 2026

I ricercatori hanno esaminato le affermazioni relative alla conoscenza zero dei gestori di password e hanno individuato alcuni possibili scenari di attacco.

Notizie
Settimana della sicurezza

Una settimana dedicata alla sicurezza (16 febbraio – 22 febbraio)

Febbraio 23, 2026

Elenco degli argomenti trattati nella settimana dal 16 al 22 febbraio 2026

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe