L’associazione Codici ha sollevato l’allarme: Poste Italiane ha recentemente pubblicato un avviso per informare i consumatori su una nuova truffa online, un tentativo di phishing che prende di mira la carta PostePay.
Alla radice della truffa si trova il consueto schema: tramite un’email ingannevole, inviata da un mittente apparentemente ufficiale, che informa gli utenti dell’urgenza di attivare un “nuovo sistema di sicurezza” per continuare a utilizzare i propri servizi. A partire dal 14 settembre, l’email afferma che gli utenti non potranno più accedere alla propria PostePay se non effettuano questa attivazione.
Il messaggio, inviato dall’indirizzo servizio@postepay-evolution.info con oggetto “Importante: Attivare il nuovo sistema di sicurezza“, esorta i destinatari a cliccare su un link per completare l’attivazione. Tuttavia, Poste Italiane segnala che questa comunicazione è fraudolenta e raccomanda di non cliccare su link sospetti né fornire informazioni personali.
In caso di dubbi, è essenziale contattare il servizio clienti di Poste Italiane per confermare l’autenticità delle comunicazioni ricevute. Poste Italiane e PostePay non richiedono mai, tramite e-mail, SMS, chat sui social network o telefonate, le credenziali di accesso, i dati delle carte o i codici di autorizzazione. Gli utenti devono essere consapevoli che qualsiasi richiesta di tali informazioni è un tentativo di frode. In particolare, le informazioni che non sono mai richieste includono:
- Nome utente e password per accedere al sito o alla app di Poste Italiane.
- Dati delle carte di pagamento, come il PIN, il numero della carta e il CVV.
- Codici segreti per autorizzare transazioni, inclusi i codici OTP ricevuti via SMS.
Il phishing
Il phishing è una tecnica di attacco informatico che mira a ingannare gli utenti per ottenere informazioni personali o riservate, come password, numeri di carte di credito, dettagli bancari o altre credenziali sensibili. Gli attaccanti si presentano come entità affidabili o legittime (come banche, servizi online o autorità) e tentano di convincere la vittima a fornire volontariamente le informazioni richieste.
Caratteristiche principali del phishing:
- Email o messaggi fraudolenti: Gli attacchi di phishing più comuni avvengono tramite email, ma possono anche manifestarsi come messaggi di testo (SMiShing), chiamate telefoniche (vishing) o messaggi sui social media.
- L’email o il messaggio sembra provenire da un’organizzazione fidata o da un contatto noto.
- Il messaggio può contenere link a siti web falsi o allegati dannosi.
- Siti web contraffatti: Gli attaccanti creano pagine web che imitano perfettamente siti reali (come un portale di login di una banca o un servizio online).
- Quando l’utente inserisce le sue credenziali, queste vengono raccolte dagli attaccanti.
- Inganno emotivo: Le email o i messaggi di phishing spesso sfruttano trucchi psicologici per creare un senso di urgenza o paura. Ad esempio:
- Minacce di chiusura dell’account.
- Richieste di verificare attività sospette o di aggiornare le informazioni personali.
- Offerte di premi o rimborsi immediati.
- Sfruttamento di fiducia: Gli attacchi phishing sfruttano il nome o il marchio di aziende o istituzioni affidabili, inserendo loghi, grafica e linguaggio professionale per convincere l’utente della legittimità del messaggio.
Tipologie comuni di phishing:
- Spear phishing: È un attacco di phishing altamente mirato, dove l’attaccante prende di mira un individuo specifico o un’azienda. A differenza degli attacchi di phishing generici, qui il messaggio viene personalizzato in base alle informazioni raccolte sulla vittima.
- Whaling: Questo tipo di phishing prende di mira figure di alto profilo, come dirigenti aziendali o personalità pubbliche. Gli attacchi “whaling” sono sofisticati e progettati per compromettere account con accesso a informazioni di alto valore.
- Clone phishing: Gli attaccanti replicano un’email legittima già inviata alla vittima, sostituendo i link o gli allegati con versioni malevole.
- Pharming: Questo metodo reindirizza il traffico di un sito web legittimo a una versione falsa, senza la necessità di inviare un’email di phishing. L’utente inserisce le sue credenziali sul sito contraffatto senza rendersi conto della frode.
Come riconoscere il phishing:
- Indirizzi email sospetti: Controlla se l’indirizzo email del mittente è leggermente diverso da quello ufficiale (ad esempio, un cambio di lettere o l’uso di domini simili ma non corretti).
- Errori grammaticali: Gli attacchi di phishing spesso contengono errori grammaticali, di ortografia o di traduzione.
- Link ingannevoli: Passa il mouse sopra i link senza cliccarli, per verificare se l’URL corrisponde effettivamente al sito web legittimo. Molti attacchi di phishing utilizzano URL abbreviati o falsi che somigliano a quelli originali.
- Richieste insolite: Diffida di messaggi che chiedono informazioni sensibili, password o credenziali, soprattutto se non ti aspetti tale richiesta.
Come proteggersi dal phishing:
- Non cliccare su link sospetti: Se ricevi un’email o un messaggio che sembra sospetto, non cliccare sui link. Invece, accedi direttamente al sito web dell’organizzazione scrivendo manualmente l’URL nel browser.
- Verificare il mittente: Controlla sempre l’indirizzo email del mittente. Se non sembra corretto, è probabile che si tratti di phishing.
- Usare l’autenticazione a due fattori (2FA): L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza, rendendo più difficile per gli attaccanti accedere ai tuoi account anche se ottengono le tue credenziali.
- Aggiornamenti software: Mantieni aggiornato il software del tuo dispositivo, inclusi browser e antivirus, per proteggerti dalle minacce più recenti.
- Segnalare il phishing: Se ricevi un’email sospetta, segnalala all’organizzazione legittima o alla piattaforma di posta elettronica in modo che possano prendere provvedimenti.
