Ancora una volta è il phishing il nemico numero uno dell’utente online. In questi giorni stanno circolando due truffe che hanno coinvolto diverse persone sotto falso nome dell’Agenzia delle Entrate e di Unicredit. Ecco che cosa hanno escogitato i criminali informatici e come hanno tratto in inganno gli utenti.
Leggi anche: La startup del fotovoltaico Astradyne si illumina con un round da 2 milioni
La truffa sotto falso nome dell’Agenzia delle Entrate
Un’email che sembra provenire da un dominio istituzionale (gov.it). Un pdf denominato «FatturaAgenziaEntrate» seguito dalla dicitura «Scade oggi». Così gli autori della truffa hanno sottratto centinaia di credenziali di posta elettronica ai destinatari della truffa. Più nel dettaglio, l’email in questione proviene da un indirizzo chiamato amministrazione@cert.gov.it (che, a dispetto del nome, non è in alcun modo collegato alla Pubblica Amministrazione) e simula l’identità digitale del popolare servizio di condivisione file WeTransfer. A quel punto, «cliccando sul pulsante “Scarica i file” – si legge –, la vittima viene dirottata su una risorsa malevola sotto il controllo degli attaccanti».
La truffa che sfrutta il nome di Unicredit
Ma in queste ore sta circolando anche un’altra truffa che sfrutta il nome di Unicredit per svuotare il conto dei malcapitati. In particolare, con la scusa di “aggiornare i dati”, “sbloccare il conto” o “verificare un’operazione sospetta” tramite un SMS o mail apparentemente ufficiali si invita l’utente ad accedere su un link che rimanda a una pagina web che imita il portale di home banking di Unicredit. Qui viene richiesto di inserire credenziali di accesso, codici OTP o addirittura i dati della carta di credito. Una volta compilati i campi, le informazioni finiscono direttamente nelle mani dei truffatori, che possono così tentare di svuotare il conto corrente o effettuare operazioni non autorizzate.
Come difendersi?
Unicredit ha più volte messo in guardia i propri clienti: la banca non invia mai link tramite SMS o email per la conferma dei dati personali e non chiede di inserire codici di sicurezza al di fuori della propria app ufficiale o del sito istituzionale. La raccomandazione è quindi semplice: non cliccare mai sui link sospetti e non condividere mai informazioni sensibili.
Gli esperti consigliano di prestare attenzione a piccoli dettagli che tradiscono l’inganno: indirizzi web strani o troppo lunghi, errori grammaticali nei testi, numeri di telefono che non corrispondono a quelli ufficiali, oppure richieste eccessivamente insistenti. In caso di dubbio, la strada più sicura è chiudere immediatamente il messaggio e contattare il servizio clienti della banca attraverso i canali ufficiali.
Chi sospetta di aver inserito i propri dati in un sito falso deve agire subito: bloccare la carta, cambiare le credenziali di accesso e informare la banca. Unicredit mette a disposizione il numero verde 800.57.57.57, attivo tutti i giorni, per ricevere assistenza immediata. Inoltre, è sempre possibile rivolgersi alla Polizia Postale, chiamando il 113 o recandosi sul sito ufficiale commissariatodips.it, dove è possibile segnalare direttamente il tentativo di truffa.