Stanno circolando in questi giorni alcune e-mail truffa relative a (ovviamente finte) raccomandate digitali inviate ad ignari utenti dall’ufficio Riscossione dell’Agenzia delle entrate.
Si tratta di un ennesimo tentativo di attacco phishing finalizzato al furto di informazioni riservate e credenziali bancarie.
Indice degli argomenti
Finte raccomandate digitali: i dettagli della truffa
A denunciarlo è stata la stessa Agenzia delle entrate-Riscossione che, in un comunicato stampa dell’ufficio Relazioni esterne e Governance – Relazioni con i Media, mette in guardia da questa nuova campagna di malspam camuffata da comunicazione relativa all’arrivo di una “raccomandata digitale” che invita a cliccare su un link per accedere al documento o a inserire dei codici non meglio specificati.
La truffa di tipo phishing, come sempre più spesso accade in questi casi, è ben congeniata e credibile. La prima “esca” utilizzata dai criminal hacker è già nell’oggetto dell’e-mail, in cui si legge un perentorio “Agenzia delle entrate-Riscossione” capace di confondere anche il più attento degli utenti.
La seconda esca è nel testo del messaggio, dove si fa riferimento a presunti documenti esattoriali di cui, tra l’altro, è indicato anche un falso numero di riferimento. L’ignara vittima viene quindi invitata a visionarli o estrarli dall’archivio digitale dell’Agenzia delle entrate semplicemente cliccando sul link “ACCEDI DOCUMENTO”.
Collegandosi all’indirizzo indicato, la vittima si ritrova davanti una pagina informativa con tanto di logo istituzionale dell’Agenzia delle entrate utilizzato per rendere la truffa più credibile.
A questo punto scatta la trappola vera e propria: la vittima viene infatti invitata a fornire i propri documenti di riconoscimento e le credenziali bancarie per consentire all’Agenzia delle entrate di completare delle non meglio specificate operazioni. In realtà, i dati riservati sono già finiti nelle grinfie dei criminal hacker.
Ecco come mettere al sicuro le credenziali bancarie
Agenzia delle entrate fa sapere, nella sua nota, di essere “completamente estranea all’invio di tali comunicazioni e raccomanda di non cliccare sui collegamenti presenti e, soprattutto, di non fornire i propri documenti e dati personali nella pagina web indicata nella email, eliminandola in via definitiva dalla propria casella di posta elettronica”.
Questa ennesima campagna malevola dimostra ancora una volta che il phishing, nonostante le numerose campagne informative, continua ad essere una delle tecniche di cyber attacco e cyber spionaggio preferite dai criminal hacker, che la usano per impossessarsi fraudolentemente di dati riservati delle loro vittime.
Il consiglio per difendersi da questa nuova campagna malevola è, ovviamente, quello di ignorare e cancellare eventuali e-mail provenienti da utenze non riconosciute o sospette.
Nel caso della nuova truffa delle finte “raccomandate digitali”, ad esempio, l’allarme trappola dovrebbe scattare già leggendo la richiesta da parte dell’Agenzia delle entrate di comunicare i propri dati personali e le credenziali bancarie. Nessun ufficio pubblico, né tantomeno un istituto di credito o finanziario, ci chiederà mai di fornire queste informazioni riservate via e-mail o mediante un semplice form online.
È inoltre possibile prevenire qualunque tipo di attacco phishing seguendo queste semplici regole di sicurezza informatica:
- controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
- prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
- è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam e dal phishing sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness dei dipendenti;
- evitare, infine, di aprire gli allegati dei messaggi di posta elettronica sospetti e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.
