Quando si parla di phishing le minacce sono sempre dietro l’angolo, pronte a colpire gli utenti nei modi più impensabili. Dopo avere segnalato la pericolosa truffa tramite e-mail per PayPal, per il quale a lanciare l’allarme è stata addirittura la Federal Trade Commission (FTC) degli Stati Uniti, è il CSIRT italiano a confermare l’esistenza di una nuova campagna di phishing contro gli utenti di Poste Italiane. La campagna sta riguardando migliaia di utenti e consiste quasi sempre nella stessa tipologia di SMS inviato ai cittadini.
Arriva nuova truffa phishing di Poste Italiane in Italia
Secondo quanto riportato dal Computer Security Incident Response Team italiano, ovvero dall’Agenzia per la Cybersicurezza Nazionale, nelle ultime ore si è riacutizzata una campagna di smishing contro gli utenti dei servizi di Poste Italiane. Come potete vedere dallo screenshot sottostante, le potenziali vittime ricevono una falsa comunicazione da parte del presunto contatto ufficiale PosteInfo, nel quale esse vengono invitate a confermare la propria identità tramite un’URL pericolosa.
Visitandola, gli utenti si troveranno dinanzi a una finta pagina di login con i loghi di Poste Italiane e un’interfaccia simile a quella ufficiale. In essa, gli utenti dovranno inserire dati sensibili come nome utente, password, numero di telefono e saldo per accedere al portale.
Una volta inseriti tali dati, l’utente viene reindirizzato alla pagina di inserimento del codice OTP. Al momento dell’invio la pagina mostrerà un falso messaggio di errore che porta infine al presunto blocco della procedura di autenticazione, richiedendo alla vittima di attendere che un operatore la contatti per procedere con la “pratica manuale”. In realtà, tutto ciò che serve ai malintenzionati è ormai in mano loro al fine di accedere al conto.
Per riconoscere queste truffe è sufficiente un occhio attento: anzitutto, il link è spesso alquanto lungo e complesso, evidentemente non fornito ufficialmente da Poste Italiane. In secondo luogo, il sito delle Poste Italiane aperto alla pressione del link da smartphone è facilmente distinguibile dal portale di login ufficiale. Peraltro, al momento del login non viene mai chiesto il saldo del conto. In poche parole, basta un minimo di attenzione e cautela per non cascare in questi tranelli.