Cosa è Successo?

Vogliamo segnalarvi un tentativo di phishing tramite cellulare che degli anonimi truffatori stanno cercando di portare a termine in questi giorni. Grazie alle attività di monitoraggio e soprattutto alle vostre segnalazioni, è stato individuato un gran numero di SMS (apparentemente inviati da Poste Italiane) nelle quali si invita i destinatari ad effettuare una ricarica telefonica per ricevere del credito telefonico in omaggio. Un tentativo simile, invita i destinatari a cliccare su un link per scaricare una cartella esattoriale.

Il testo contenuto nei messaggi è più o meno sempre di questo tipo:

“Poste Italiane ti regala 100 euro di credito + 10GB Internet se effettui una ricarica di almeno 20 euro sul sito: URL di sito contraffatto offerta valida 24 ore”

oppure:

“PosteNotifica! La informiamo di Cartella Esattoriale numero: J488/2016, La preghiamo di scaricare la raccomandata nella sezione sito URL di sito contraffatto

Al posto di “URL di sito contraffatto” appaiono vari indirizzi che fanno pensare a Poste Italiane, ma che nulla hanno a che vedere con i siti originali che mettiamo a disposizione della clientela.

Anche i numeri di cellulari del mittente sono diversi e variano da persona a persona.

Ci preme farvi osservare come, nel secondo caso, gli evidenti errori di traduzione indichino chiaramente la presenza di una anomalia.

Perchè è importante saperlo?

Si tratta di un falso: i messaggi contengono tutti un link per mezzo del quale i truffatori rendirizzano le proprie vittime ad un sito di phishing, ideato allo scopo di carpire in modo fraudolento le credenziali di accesso. Le credenziali possono in seguito essere utilizzate per trafugare il nostro denaro o vengono rivendute ad organizzazioni criminali specializzate.

Le verifiche condotte dal nostro CERT, hanno confermano che si tratta di un caso molto esteso di smishing (phishing tramite SMS): un’attività illecita compiuta adottando diversi stratagemmi (ad es. riproducendo marchi o loghi di siti web che frequentiamo abitualmente).

Si tratta di reati molto seri, puniti dal nostro Codice Penale (induzione in errore della persona offesa con artifizi o raggiri – ex art. 640 c.p., “Truffa”; invio di comunicazioni indesiderate/non richieste – “spamming” in violazione del D.Lgs. 196/03 – “Codice in materia di protezione dei dati personali” o “Codice privacy”).

In Poste Italiane abbiamo organizzato, da tempo, presìdi per la prevenzione ed il contrasto di queste attività illecite, che ci consentono di disattivare tempestivamente i siti predisposti dai truffatori e allo stesso tempo di bloccare eventuali operazioni sospette sui conti, in caso vengano sottratte le credenziali di accesso di un cliente.

Come Comportarsi?

Per non correre rischi, suggeriamo a chiunque riceva questo tipo di messaggi di adottare dei semplici accorgimenti, quali:

  • non collegarsi al sito indicato nel testo del messaggio SMS;
  • in caso ci si sia collegati per errore, non fornire alcun tipo di credenziali e/o dato personale, non autenticarsi;
  • non scaricare eventuali documenti o allegati presenti in messaggi simili di posta elettronica;
  • segnalare ulteriori messaggi SMS o di posta elettronica sospetti alla casella di posta CERT@posteitaliane.it;
  • diffidare di analoghe richieste, di cui non sia certa la provenienza.