Il Centro Operativo Sicurezza Cibernetica (C.O.S.C.) Umbria della Polizia di Stato avvisa la cittadinanza su diverse campagne di attacco informatico, tracciate in Italia nelle ultime settimane, che sfruttano nomi e loghi di note Istituzioni e aziende per sottrarre dati personali, finanziari e credenziali d’accesso, ultima in ordine di tempo NOIPA. È fondamentale mantenere alta la guardia e conoscere le principali tattiche usate dai criminali informatici.
Le Truffe Più Recenti e le Tecniche Utilizzate
I malintenzionati sfruttano la fiducia riposta negli enti pubblico o nei marchi noti per rendere le loro comunicazioni credibili. Ecco un riepilogo delle truffe più diffuse individuate nell’ambito della nostra attività istituzionale:
1. Agenzia delle Entrate e Criptovalute (Phishing)
- Nome Sfruttato: Agenzia delle Entrate.
- Esca: Richiesta di compilare una falsa “Dichiarazione Fiscale Criptovalute” per presunte scadenze, usando un layout e riferimenti (FAQ, GDPR) per apparire legittimo.
- Obiettivo: Raccogliere dati personali (nome, cognome, codice fiscale, e-mail, telefono), richiedere screenshot del wallet crypto e, nella fase finale, indurre a “importare il portafoglio” (soprattutto su reti Solana ed Ethereum) per sottrarne le credenziali di accesso.
2. Banca d’Italia: Aggiornamento Normativa Antiriciclaggio (Phishing)
- Nome Sfruttato: Banca d’Italia.
- Esca: Un portale fraudolento che simula una piattaforma per l’aggiornamento delle informazioni personali per effetto di “nuove disposizioni della normativa antiriciclaggio”. La vittima viene invitata a selezionare la propria banca tra vari marchi noti.
- Obiettivo: Ottenere dati personali (nome, cognome, numero di cellulare) e, soprattutto, credenziali bancarie e codici OTP.
3. Ministero delle Infrastrutture e dei Trasporti (MIT) – Rinnovo Patente (Phishing)
- Nome Sfruttato: Ministero delle Infrastrutture e dei Trasporti (MIT).
- Esca: E-mail con un link che reindirizza a una pagina fraudolenta che sfrutta il pretesto del rinnovo della patente di guida.
- Obiettivo: Richiesta di diverse informazioni personali, inclusi dettagli della patente, nome completo, data di nascita, nazionalità, indirizzo, numero di telefono, e-mail e numero di documento d’identità.
4. Autostrade per l’Italia (Aspi) – Pedaggio non Saldo (Smishing)
- Nome Sfruttato: Autostrade per l’Italia (Aspi).
- Esca: SMS che fa riferimento a un presunto pedaggio non saldato del valore di 6,50 euro da pagare tramite il link presente nel testo.
- Obiettivo: Su una pagina malevola che utilizza nome e logo ufficiali di Aspi, vengono richiesti dati personali (targa, numero di cellulare) e i dettagli della carta di pagamento.
5. Fascicolo Sanitario Elettronico (FSE) – Rimborso (Phishing)
- Nome Sfruttato: Fascicolo Sanitario Elettronico (FSE), Ministero dell’Economia e delle Finanze, Ministero della Salute.
- Esca: E-mail che informa dell’erogabilità di un presunto rimborso, presentando un link a una pagina malevola.
- Obiettivo: Invitare l’utente a fornire le proprie generalità e i dati della sua carta di pagamento.
6. PagoPA – Multe e Open Redirect (Phishing)
- Nome Sfruttato: PagoPA.
- Modalità Aggiuntiva: Sfruttamento di open redirect su domini legittimi di Google, che reindirizza verso una pagina intermedia (es. su bio[.]site) che riproduce il logo PagoPA.
- Esca: Riferimento a presunte infrazioni stradali non pagate.
- Obiettivo: Indurre la vittima a cliccare su un pulsante che porta a una nuova pagina di phishing che imita il portale ufficiale, spingendo l’utente a inserire i propri dati personali (nome e cognome, data).
7. Facebook via Messenger (Phishing)
- Nome Sfruttato: Facebook via Messenger / Meta.
- Esca: Messaggio su Messenger, proveniente da un account che simula un servizio di verifica, che informa della possibile eliminazione dell’account a causa di presunte attività sospette, esortando a cliccare su un link per revisionare le informazioni.
- Obiettivo: Reindirizzare a una falsa pagina di login per sottrarre codici di accesso alla piattaforma e, successivamente, richiedere il numero di cellulare.
8. TIM – Scadenza Punti Fedeltà (Smishing)
- Nome Sfruttato: TIM.
- Esca: SMS che sfrutta il pretesto dell’imminente scadenza dei punti fedeltà TIM Point Service per riscattare premi.
- Obiettivo: Dopo aver inserito numero di telefono o e-mail, viene proposto di riscattare premi in cambio di una commissione (€ 0,99). Vengono richiesti dati personali e gli estremi della carta di credito per addebitare la commissione.
9. INPS – Erogazione di Denaro (Smishing)
- Nome Sfruttato: Istituto Nazionale Previdenza Sociale (INPS).
- Esca: SMS fraudolenti che contengono un link a un sito malevolo imitante i portali ufficiali, invitando a confermare la propria identità per ricevere un’erogazione di denaro da parte di INPS.
- Obiettivo: Sottrarre dati personali e richiedere in modo invasivo: generalità, IBAN, fronte e retro della carta d’identità, tessera sanitaria, patente di guida, ultime tre buste paga e un selfie con documento d’identità in mano.
10. NoiPA – Richiesta Integrazione Dati Personali Utenti NoiPA (Phishing)
- Nome Sfruttato: NoiPA – Servizi PA a Personae PA.
- Esca: mail fraudolente che contengono un link che trasferisce l’utente su un sito malevolo imitante il portale ufficiale. Questo link reindirizza ad un modulo creato appositamente per sottrarre le chiavi di accesso. Una volta inseriti i dati, i criminali ottengono il controllo completo dell’area riservata, esponendo il malcapitato a gravi rischi finanziari. La mail fa leva sulla falsa necessità di aggiornare l’anagrafica per non perdere gli aumenti stipendiali.
- Obiettivo: Sottrarre dati sensibili e credenziali bancarie.
I Nostri Consigli per la Tua Sicurezza
Per proteggervi da queste minacce, il C.O.S.C. Umbria raccomanda di adottare le seguenti misure preventive:
- Verificate Sempre il Mittente: diffidate da SMS o e-mail che usano nomi di istituzioni o aziende note (INPS, Agenzia delle Entrate, TIM, PagoPA, etc.) ma provengono da indirizzi o numeri sconosciuti.
- Non Cliccate su Link Sospetti: non aprite mai link contenuti in messaggi o e-mail non richiesti o che vi mettono fretta (“pedaggio non pagato”, “scadenza imminente”). Controllate attentamente l’indirizzo del sito web (URL) prima di inserire qualsiasi dato.
- Nessun Ente Chiede Credenziali: nessun istituto bancario, ente pubblico o Forza di Polizia vi chiederà mai credenziali bancarie, codici OTP, PIN o documenti di identità via e-mail, SMS o Messenger.
- Usate i Canali Ufficiali: in caso di dubbi, contattate l’ente interessato direttamente tramite i canali ufficiali (sito web, numeri di telefono noti) e non attraverso i contatti o link forniti nel messaggio sospetto.
- Attenzione ai Dati Sensibili: non fornite mai a siti terzi foto dei vostri documenti (Carta d’Identità, Patente, Tessera Sanitaria) o informazioni finanziarie per sbloccare rimborsi, premi o pagamenti di piccole somme.
