Il panorama della sicurezza informatica in Italia sta attraversando una fase estremamente complessa, caratterizzata da un aumento vertiginoso di attacchi mirati verso i cittadini comuni. Nonostante una crescente sensibilizzazione, il nostro Paese resta uno dei bersagli preferiti per le campagne di social engineering, poiché i truffatori sanno sfruttare con estrema abilità il legame di fiducia tra l’utente e le istituzioni pubbliche. In questo contesto, le truffe digitali non sono più soltanto tentativi grossolani di estorsione, ma operazioni sofisticate che utilizzano l’urgenza, la paura o la promessa di benefici economici per abbassare le difese delle vittime. La vulnerabilità del sistema Italia non risiede tanto nelle infrastrutture tecnologiche, quanto nella capacità dei criminali di manipolare la psicologia dell’utente finale, rendendo la sicurezza una sfida quotidiana che si gioca direttamente sui nostri smartphone.
Recentemente, il CERT-AgID ha lanciato un’allerta specifica riguardante una nuova e insidiosa campagna di smishing che vede protagonista l’INPS oltre alla situazione internazionale ed il noto aumento spropositato dei costi per l’energia. Sfruttando queste incertezze, i cybercriminali stanno inviando massivamente dei messaggi SMS che promettono l’erogazione di un fantomatico bonus carburante per ovviare appunto a questo tipo d’emergenza aiutando le persone che, magari, vivono in regime di ristrettezza economica. Il testo del messaggio, studiato per apparire istituzionale e urgente, invita il destinatario a cliccare su un link per “confermare i propri dati” e ottenere così il beneficio economico. CERT-AgID tende a precisare che di queste campagne se ne sono viste moltissime, ma che in questo caso si punta direttamente al furto dei dati di pagamento delle potenziali vittime per poi effettuare delle spese. Oltretutto, questo phishing è stato già segnalato, negli ultimi giorni, ben 14 volte ed è stato anche osservato che i domini d’appoggio sono molteplici.
Passando all’SMS incriminato, esso viene inoltrato per informare della possibile erogazione di un sussidio per il carburante, mostrando poi un link che, una volta cliccato, indirizza l’utente su una pagina web contraffatta, che riproduce in modo quasi perfetto la grafica del portale ufficiale dell’Istituto Nazionale di Previdenza Sociale, ma a quanto pare visualizzabile solo da un dispositivo mobile. Qui viene offerto un buono di ben 300 Euro, basterà seguire le indicazioni presenti nella pagina e fare la domanda entro il 16 maggio 2026. I dati richiesti per il bonus sono, al primo passaggio, quelli anagrafici oltre al numero di telefono e l’indirizzo di casa, mentre nel secondo passaggio si passa al piatto forte, vale a dire i dati della propria carta, comprensivi di CVV, vale a dire il codice a tre cifre che consentirebbe, a chi ne entra in possesso, di utilizzare la carta a suo piacimento. Da qui l’assunzione, fatta in precedenza, del fatto che questa truffa pare essere mirata esclusivamente al furto delle carte di credito più che di documenti d’identità o altre informazioni.
CERT-AgID ha proseguito la sua analisi dicendo che tutto ciò che è stato osservato per questa truffa sembra essere ascrivibile al malware Darcula, uno strumento di Phishing-as-a-Service che fornisce una vera e propria piattaforma per lanciare offensive che, come questa, mirano al furto di una vasta gamma di informazioni. Ovviamente l’azione del CERT non si è fermata a queste analisi o all’informazione degli utenti, poiché si è anche mosso per informare innanzitutto l’INPS del fatto che viene usato, come spesso accade, il suo nome per campagne fraudolente oltre a chiedere ai provider coinvolti la dismissione dei domini sfruttati per lanciare queste truffe.
Per proteggersi efficacemente da queste minacce è fondamentale adottare un approccio di, per così dire, scetticismo digitale. La prima regola è ricordare sempre che l’INPS non invia mai link cliccabili via SMS per richiedere dati sensibili o per l’erogazione di bonus: le comunicazioni ufficiali avvengono solo tramite l’area riservata MyINPS, a cui si accede digitando manualmente l’indirizzo nel browser. È essenziale diffidare dai messaggi urgenti che promettono soldi facili o minacciano sanzioni immediate, evitando sempre di fornire informazioni personali di qualsiasi tipo a margine della ricezione di un link sul cellulare. Un consiglio utile è quello di verificare sempre le segnalazioni ufficiali che il CERT-AgID o CSIRT diramano costantemente o di consultare i canali social dell’ente coinvolto prima di compiere qualsiasi azione.
Fonte: 1
