Leggi in app
“Il tuo SPID di Poste Italiane è stato sospeso: riattivalo ora”. Questo è il titolo di una email ricevuta dal sottoscritto due giorni dopo aver effettuato il pagamento del canone annuale di 6 euro per attivare lo SPID. L’attenzione aumenta immediatamente, poiché ho effettuato il pagamento tramite l’app ufficiale Poste Id; quindi, leggo con maggiore attenzione la mail, redatta in un italiano corretto, con colori e loghi impeccabili di Poste Italiane, che mi informa che il canone “non è stato ancora pagato. Per questo motivo, l’accesso è stato temporaneamente sospeso”. Nella mail viene anche indicato come procedere al pagamento del canone. È sufficiente recarsi in un ufficio postale oppure effettuare il pagamento online, cliccando sul link blu presente alla fine della mail, dove è scritto “vai al pagamento”.
In sostanza, tutto è formulato in modo chiaro, si invita anche a recarsi di persona in un ufficio postale per saldare i 6 euro e non c’è alcun tono allarmistico da ultimatum, come spesso accade nel phishing. È davvero facile cadere nella tentazione di cliccare sul link e pagare per risolvere il problema, ma decido di effettuare una serie di verifiche.
Inizio controllando l’indirizzo email di origine: [email protected], che sembra plausibile, ma c’è un inganno. Infatti, una rapida ricerca su Google rivela che il dominio corretto per ogni comunicazione ufficiale è sempre e solo @posteitaliane.it.
Il secondo passo consiste nel posizionare il mouse sul link blu “vai al pagamento” e in basso a sinistra del browser appare l’url verso cui sarei stato reindirizzato cliccando, e in questo caso, l’inganno è ancora più evidente. Nel link non c’è alcun riferimento a Poste Italiane e porta a un sito esterno che inizia con “public-eur”. Il dubbio iniziale si avvicina sempre di più alla certezza. Ma c’è ancora un ultimo controllo da effettuare: verificare sull’app ufficiale Poste ID se il mio account mostra lo SPID attivo. La prova decisiva conferma che il pagamento era andato a buon fine, quindi la mail era una trappola, un astuto tentativo di phishing per sottrarre i miei dati. Tutto falso, ma realizzato in modo impeccabile. Nel phishing rientrano tutti quei messaggi ingannevoli con toni urgenti o accattivanti che invitano a cliccare su link verso siti web contraffatti (simili a quelli ufficiali, come Poste Italiane). L’obiettivo è rubare credenziali di accesso, numeri di carta e codici OTP. Ma come proteggersi da queste azioni malevole? Sul sito di Poste Italiane, nella sezione sicurezza, è disponibile la pagina “Come difendersi dalle truffe”, che illustra come proteggersi dai cybercriminali che sfruttano le vulnerabilità della rete. In primo luogo, Poste Italiane chiarisce che l’azienda non richiede mai in nessuna modalità (e-mail, sms, chat di social network, operatori di call center, Ufficio Postale e prevenzione frodi) le credenziali di accesso, i dati delle carte – come Pin o CVV – e i codici segreti per autorizzare le operazioni. Inoltre: “Non ti sarà mai richiesto di effettuare transazioni di qualsiasi tipo paventando falsi problemi di sicurezza sul tuo conto o sulla tua carta, né tantomeno di recarti in Ufficio Postale o in un ATM per farlo”.
Per completezza, ecco alcune azioni da intraprendere e da evitare a seconda della situazione in cui ci si trova.
- Controlla sempre l’affidabilità di un’email prima di aprirla: verifica come è scritto l’indirizzo da cui proviene l’e-mail.
- Non scaricare gli allegati delle e-mail sospette.
- Non cliccare sul link contenuto nelle e-mail sospette; se per errore dovesse accadere, non autenticarti sul sito falso e chiudi immediatamente il browser.
- Segnala a Poste Italiane eventuali e-mail di phishing, inoltrandole all’indirizzo [email protected]. Subito dopo, cestinale e cancellale anche dal cestino.
Tuttavia, come riportato dal sito di Poste Italiane, non esiste solo il phishing come attività malevola, poiché ci sono anche altre forme di truffe informatiche. Ecco quali.
- Vishing (Voice Phishing): Il truffatore ti contatta telefonicamente fingendosi un operatore di call center. Con la scusa di un problema tecnico, cerca di convincerti a fornire le tue credenziali bancarie, i dati della carta o i codici OTP.
- Smishing (SMS Phishing): Ricevi un SMS che sembra provenire da un ente ufficiale (banca, poste, corrieri) contenente un link malevolo. Cliccandoci, verrai reindirizzato su un sito falso creato per rubare i tuoi dati riservati.
- Truffe sui Social: Il frodatore utilizza profili falsi per rispondere ai tuoi commenti pubblici sulle pagine ufficiali delle aziende. Successivamente, sposta la conversazione in chat privata per richiederti password e codici di accesso.
- Cash for SMS: App (spesso illecite) che promettono guadagni in cambio della “vendita” dei tuoi SMS non utilizzati. Queste app mettono a rischio la tua identità digitale e la sicurezza del tuo smartphone.
Naturalmente, ho inoltrato la mail falsa all’indirizzo [email protected] per segnalare il caso, ma rimane un interrogativo aperto: come hanno fatto gli hacker a ottenere il mio indirizzo email dopo che avevo realmente pagato i 6 euro di canone SPID tramite l’app ufficiale di Poste Italiane?
I commenti sono chiusi.