Leggi in app
“Il tuo SPID di Poste Italiane è stato sospeso: riattivalo ora”. Questo è l’oggetto di un’email ricevuta dal sottoscritto due giorni dopo aver effettuato il pagamento annuale di 6 euro per attivare lo SPID. L’attenzione si alza immediatamente, poiché ho effettuato il pagamento tramite l’app ufficiale Poste Id; quindi, leggo con maggiore attenzione l’email, redatta in un italiano corretto, con colori e loghi impeccabili di Poste Italiane, che mi informa che il canone “non è stato ancora pagato. Per questo motivo, l’accesso è stato temporaneamente sospeso”. Nella mail viene anche indicato come procedere al pagamento del canone: è sufficiente recarsi in un ufficio postale oppure effettuare il pagamento online, cliccando sul link blu presente alla fine della mail con la dicitura “vai al pagamento”.
In sostanza, tutto è esposto in modo chiaro, si invita anche a recarsi di persona in un ufficio postale per saldare i 6 euro e non c’è alcun tono allarmistico da ultimatum, come spesso accade nel phishing. È davvero semplice cadere nella tentazione di cliccare sul link e pagare per risolvere il problema, ma decido di effettuare una serie di verifiche.
Inizio controllando l’indirizzo email di origine: [email protected], che sembra plausibile, ma c’è un inganno. Infatti, una rapida ricerca su Google rivela che il dominio corretto per ogni comunicazione ufficiale è sempre e solo @posteitaliane.it.
Il secondo passo consiste nel posizionare il mouse sul link blu “vai al pagamento” e in basso a sinistra del browser appare l’url verso cui sarei stato reindirizzato cliccando su di esso, e in questo caso, l’inganno è ancora più evidente. Nel link non c’è alcun riferimento a Poste Italiane e porta a un sito esterno che inizia con “public-eur”. Il dubbio iniziale si avvicina sempre di più alla certezza. Tuttavia, c’è ancora un ultimo controllo da effettuare: verificare sull’app ufficiale Poste ID se il mio account mostra lo SPID attivo. La prova decisiva conferma che il pagamento era andato a buon fine, quindi l’email era una trappola, un astuto tentativo di phishing per sottrarre i miei dati. Tutto falso, ma realizzato in modo impeccabile. Nel phishing rientrano tutti quei messaggi ingannevoli con toni urgenti o accattivanti che invitano a cliccare su link verso siti web contraffatti (simili a quelli ufficiali, come Poste Italiane). L’obiettivo è rubare credenziali di accesso, numeri di carta e codici OTP. Ma come proteggersi da queste azioni malevole? Sul sito di Poste Italiane, nella sezione sicurezza, è presente la pagina “Come difendersi dalle truffe”, che illustra come proteggersi dai cybercriminali che sfruttano le vulnerabilità della rete. Prima di tutto, Poste Italiane chiarisce che l’azienda non richiede mai in nessuna modalità (e-mail, sms, chat di social network, operatori di call center, Ufficio Postale e prevenzione frodi) le credenziali di accesso, i dati delle carte – come Pin o CVV – e i codici segreti per autorizzare le operazioni. Inoltre: “Non ti sarà mai richiesto di effettuare transazioni di qualsiasi tipo paventando falsi problemi di sicurezza sul tuo conto o sulla tua carta, né tantomeno di recarti in Ufficio Postale o in un ATM per eseguirle”.
Per completezza, ecco alcune azioni da intraprendere e da evitare a seconda della situazione in cui ci si trova.
- Controlla sempre l’affidabilità di un’email prima di aprirla: verifica come è scritto l’indirizzo da cui proviene l’email.
- Non scaricare gli allegati delle email sospette.
- Non cliccare sul link contenuto nelle email sospette; se per errore dovesse accadere, non autenticarti sul sito falso e chiudi immediatamente il browser.
- Segnala a Poste Italiane eventuali email di phishing, inoltrandole all’indirizzo [email protected]. Subito dopo, cestinale e cancellale anche dal cestino.
Tuttavia, come riportato dal sito di Poste Italiane, non esiste solo il phishing come attività malevola, poiché ci sono anche altre forme di truffe informatiche. Ecco quali.
- Vishing (Voice Phishing): Il truffatore ti contatta telefonicamente fingendosi un operatore di call center. Con la scusa di un problema tecnico, cerca di convincerti a fornire le tue credenziali bancarie, i dati della carta o i codici OTP.
- Smishing (SMS Phishing): Ricevi un SMS che sembra provenire da un ente ufficiale (banca, poste, corrieri) contenente un link malevolo. Cliccandoci, verrai reindirizzato a un sito falso creato per rubare i tuoi dati riservati.
- Truffe sui Social: Il frodatore utilizza profili falsi per rispondere ai tuoi commenti pubblici sulle pagine ufficiali delle aziende. Sposta poi la conversazione in chat privata per richiedere password e codici di accesso.
- Cash for SMS: App (spesso illecite) che promettono guadagni in cambio della “vendita” dei tuoi SMS non utilizzati. Queste app mettono a rischio la tua identità digitale e la sicurezza del tuo smartphone.
Naturalmente, ho inoltrato l’email falsa all’indirizzo [email protected] per segnalare il caso, ma rimane un interrogativo aperto: come hanno fatto gli hacker a intercettare il mio indirizzo email dopo che avevo effettivamente pagato i 6 euro di canone SPID tramite l’app ufficiale di Poste Italiane?
I commenti sono chiusi.