Una nuova truffa via Sms vede coinvolta ignaramente Poste Italiane. Negli ultimi giorni sta girando un sms truffa indirizzato ai clienti di Poste Italiane con l’obiettivo di accedere al loro conto corrente. Si tratta di un tentativo di phishing con tanto di link fake che viene tuttavia spacciato per una comunicazione di Poste Italiane.
Uno dei messaggi recapitati agli utenti via sms è il seguente.
“INFOPOSTE ATTENZIONE! Il suo conto verrà sospeso. Per evitare le sospensione clicca su (segue un link) Cordiali saluti, Poste italiane”. Per attirare l’attenzione delle vittime i truffatori fanno ampio uso delle maiuscole che però sono anche un indizio del fatto che il messaggio non è autentico. In questo caso il link rimanda ad un sito che sembra di Poste Italiane (i colori sono gli stessi), ma che è in realtà gestito dai truffatori. All’ignaro utente viene fatto presente che” si sono presentate anomalie sul suo conto personale” e pertanto se si vuole evitare il blocco della carta è necessario compilare un modulo. Una volta ottenuti i dati del correntista i malviventi possono così passare all’incasso. Il consiglio ovviamente è di non cliccare
Oltre all’Sms truffa, nei giorni scorsi molti utenti delle Poste hanno segnalato strani addebiti sul conto personale, transazioni di pochi euro – dai 4 ai 10 – addebitate sulle Postepay, la prepagata ricaricabile di Poste Italiane, ma nessuno di loro ha mai effettuato acquisti.
Gli importi sottratti sono sempre molto piccoli – proprio per non dare nell’occhio – e risultano accreditati a favore del negozio digitale di Google, da cui si scaricano le applicazioni per smartphone o tablet. Le persone coinvolte hanno spiegato di non aver cliccato su link, via sms o email, che potrebbero averli reindirizzati sui siti di phishing, dove gli hacker rubano le informazioni delle carte di pagamento.
Truffe con sms: di cosa si tratta e come difendersi
Nel caso dell’sms truffa ci troviamo di fronte allo smishing, una truffa tramite SMS che sta circolando negli ultimi tempi e che causa diversi danni, funziona tramite il classico SMS che fa riferimento alla consegna di un pacco fasullo.
La parola smishing, si legge su kaspersky.it, deriva dall’unione di ‘sms’, ovvero i messaggi di testo che si inviano tramite cellulare, e ‘phishing’, cioè truffa. Quando i cybercriminali fanno phishing, inviano mail fraudolente che cercano di ingannare il destinatario inducendolo a far aprire un allegato pieno di malware o ad aprire un link dannoso. Stessa cosa avviene per lo smishing, che semplicemente usa gli sms al posto delle email.
L’ignaro utente riceve un messaggio sms, apparentemente inviato dalla propria Banca o dalle Poste, contenente avvisi di movimentazioni sospette o problemi di accesso al servizio dell’home banking e viene invitato a cliccare su un link che rinvia, in realtà, ad un sito clone, tramite il quale viene indotto a inserire le proprie credenziali (username, password, numero di telefono cellulare, nonché codice fiscale e indirizzo di posta elettronica). Come ricorda la Polizia Postale, le Banche non vi richiederanno mai di fornire o confermare i vostri dati di accesso o bancari via email, NON usa link a scadenza e NON minaccia mai il blocco immediato di prodotti e servizi.
Le credenziali per l’accesso (Numero Cliente, PIN o OTP) potrebbero essere richieste soltanto nel caso in cui sia tu a contattare la Banca.
Inoltre le mail truffaldine, apparentemente sono molto simili a quelli della Banca, sia nel contenuto che nella grafica, ma ci sono dei piccoli accorgimenti ai quali vi suggeriamo di porre particolare attenzione, ad esempio:
- Attenzione al mittente, non sono email ufficiali
- Attenzione agli errori, spesso le mail false contengono errori di punteggiatura
- Attenzione a leggere la sede sociale, verificate sul sito ufficiale la sede sociale reale
- Attenzione al tono di urgenza e minaccia, non farti spaventare dall’urgenza comunicata nella mail
- Attenzione a non cliccare alcun link, nei messaggi fraudolenti vengono allegati dei link che ti portano a pagine o applicazioni esterne in cui vengono richiesti i tuoi dati sensibili e le tue credenziali di accesso
- Attenzione alla pagina web, quando inserisci i dati riservati, assicurati che si tratti di una pagina protetta e di un sito ufficiale
- Presta attenzione all’indirizzo della pagina, che deve iniziare sempre con https:// non con http:// e che nella pagina sia presente l’icona con il lucchetto, che lo identifica come sito certificato.
