Agenzia delle Entrate, campagna di phishing mirata al furto di credenziali SPID

Il nuovo allarme phishing proviene dall'Agenzia delle Entrate, identificata una pagina web realizzata da truffatori allo scopo di rubare le credenziali SPID, prestate molta attenzione ai messaggi che ricevete!

Individuata una nuova campagna di phishing che sfruttando il logo dell’Agenzia delle Entrate, tenta di acquisire le credenziali di accesso delle identità digitali SPID degli utenti.
La campagna viene diffusa tramite comunicazioni email ingannevoli che invitano l’utente ad accedere alla propria area riservata dell’Agenzia delle Entrate e contengono al loro interno un link che reindirizza a un sito creato ad hoc per raccogliere credenziali.

 La pagina web fraudolenta (vedi immagine) presenta agli utenti una falsa schermata di accesso all’area riservata dell’Agenzia delle Entrate che riproduce un modulo di login tramite SPID contraffatto. Nello specifico, viene richiesto all’utente di inserire la sola password della propria identità SPID, mentre l’indirizzo email della vittima è già precompilato tramite personalizzazione del link.

L’Agenzia delle Entrate disconosce come sempre queste comunicazioni, rispetto alle quali si dichiara totalmente estranea.
Raccomandiamo come sempre di prestare la massima attenzione qualora si ricevessero email di questo tipo, evitando di cliccare sui link riportati e di fornire informazioni personali e vi invitiamo a procedere immediatamente alla loro eliminazione.

In caso di dubbi sulla veridicità di una comunicazione ricevuta,effettuare una verifica preliminare rivolgendosi ai contatti reperibili sempre sul portale istituzionale www.agenziaentrate.gov.it o direttamente all’Ufficio territorialmente competente.

 Cos’è il phishing

Il phishing è una forma di attacco informatico in cui gli aggressori cercano di ingannare le persone facendosi passare per fonti legittime al fine di ottenere informazioni personali, finanziarie o sensibili. L’obiettivo principale del phishing è manipolare la vittima in modo che condivida volontariamente le proprie informazioni, come password, numeri di carta di credito, dettagli bancari o altre credenziali, che gli aggressori possono poi utilizzare per scopi fraudolenti.

Il termine “phishing” è un gioco di parole basato sulla parola “fishing” (pesca in inglese), poiché gli aggressori lanciano esche (messaggi o siti web) sperando di “pescare” le informazioni personali delle vittime. Gli attacchi di phishing possono avvenire attraverso diversi canali, tra cui:

1. Email phishing: Gli aggressori inviano email fasulle che sembrano provenire da organizzazioni legittime, come banche, società di carte di credito o fornitori di servizi, al fine di indurre le vittime a cliccare su link dannosi o fornire informazioni sensibili.
2. SMS phishing (smishing): Gli aggressori inviano messaggi di testo contraffatti, spesso contenenti link malevoli o richieste di condivisione di informazioni personali.
3. Phishing tramite chiamate (vishing): Gli aggressori effettuano chiamate telefoniche fingendosi rappresentanti di istituzioni finanziarie o aziende legittime per ottenere informazioni personali o convincere le vittime a effettuare transazioni non autorizzate.
4. Phishing tramite social media: Gli aggressori possono utilizzare social media o piattaforme di messaggistica istantanea per contattare le vittime e cercare di ottenere informazioni sensibili.
5. Phishing tramite siti web falsi: Gli aggressori creano siti web falsi che sembrano autentici, spesso replicando il design e le grafiche di siti web legittimi, al fine di indurre le vittime a inserire le proprie credenziali.

I consigli per non cadere nella trappola

Difendersi dal phishing richiede una combinazione di consapevolezza, cautela e utilizzo di misure di sicurezza. Ecco alcuni suggerimenti per proteggerti da attacchi di phishing:

• Sii scettico: Come per le email di phishing, mantieni un atteggiamento critico verso i messaggi di testo inaspettati o sospetti. Non fidarti ciecamente delle informazioni o dei link contenuti in tali messaggi.
• Verifica l’identità del mittente: Prima di agire su un messaggio di testo, verifica l’identità del mittente. Se ricevi un messaggio da una banca, azienda o organizzazione, contattala direttamente utilizzando i contatti ufficiali piuttosto che rispondere al messaggio.
• Evita di cliccare su link: Non cliccare mai su link nei messaggi di testo, specialmente se provengono da mittenti sconosciuti o sembrano sospetti. Se un messaggio ti chiede di visitare un sito web, vai direttamente al sito digitando l’URL nel tuo browser.
• Non fornire informazioni personali: Mai condividere informazioni personali, finanziarie o sensibili attraverso messaggi di testo, anche se sembrano provenire da fonti legittime.
• Non rispondere alle richieste urgenti: Gli aggressori spesso cercano di creare un senso di urgenza per farti agire rapidamente. Se ricevi un messaggio urgente che richiede azioni immediate, prenditi del tempo per verificare la situazione prima di agire.
• Utilizza autenticazione a due fattori (2FA): Attiva l’autenticazione a due fattori (2FA) per i tuoi account online, inclusi quelli collegati ai messaggi di testo. Questo aggiunge un ulteriore livello di sicurezza richiedendo una seconda verifica oltre alla password.
• Segnala il phishing: Se ricevi un messaggio di testo sospetto, segnalalo al tuo operatore di telefonia mobile e, se possibile, all’organizzazione coinvolta.
• Mantieni il software aggiornato: Assicurati che il sistema operativo del tuo telefono e le app siano sempre aggiornati con le versioni più recenti, poiché le vulnerabilità possono essere sfruttate dagli aggressori.
• Utilizza app di messaggistica sicure: Se possibile, utilizza app di messaggistica crittografate e sicure per comunicazioni sensibili.
• Blocca i numeri sospetti: Se ricevi messaggi di testo da numeri sospetti o indesiderati, bloccali sul tuo telefono per evitare ulteriori contatti.
• Scegli soluzioni di sicurezza: Alcuni software antivirus per smartphone offrono protezione dai messaggi di phishing tramite SMS. Considera l’installazione di un’app affidabile per proteggerti da minacce.
• Educa te stesso: Stai al passo con le nuove tattiche di phishing che coinvolgono messaggi di testo e rimani informato sulle pratiche di sicurezza.

Ricorda che gli aggressori possono sfruttare varie tattiche per ingannarti, quindi è essenziale essere vigili e non abbassare la guardia.

In caso di problemi, non ti preoccupare ci sono gli esperti di Adiconsum Veneto a tua disposizione, contattaci per fissare un appuntamento, telefonando allo 041/5330832-833 oppure inviando una mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.