Nel mondo della cybersecurity è corretto differenziare le truffe anche in base al loro obiettivo, cosa che possiamo vedere di frequente anche nei nostri approfondimenti quando parliamo di attacchi mirati e truffe, più o meno grandi, dirette esclusivamente verso aziende di certi settori oppure verso gli enti pubblici, fino ad arrivare alle campagne che cercano banalmente di “pescare nel mucchio” per rubare dati o, più spesso, denaro. La costruzione di queste truffe è solitamente abbastanza semplice, si usano comunicazioni su fatti urgenti che possono capitare a chiunque tutti i giorni.
È qui che arriviamo alle varie truffe, tutte simili tra loro, che vengono osservate ultimamente nel nostro paese e che riguardano qualcosa che può oggettivamente capitare a chiunque: prendere una multa stradale. Questo perché negli ultimi mesi sono state osservate e segnalate già diverse volte alcune campagne che differiscono soltanto per il mezzo usato per comunicare i finti verbali. In alcuni casi i cittadini hanno ricevuto avvisi con la classica email fasulla, altre volte i messaggi SMS ed addirittura in qualche caso anche i messaggi via WhatsApp, cosa che dovrebbe far scattare più di un campanello d’allarme. Ovviamente i messaggi avevano carattere di urgenza e intimavano al destinatario di pagare velocemente, tramite PagoPA, l’importo della sanzione entro pochissimo tempo, pena il passaggio alle vie legali.
In ciascun messaggio si fa riferimento a un verbale per violazione del codice della strada o, in alternativa, a inadempienze dal punto di vista fiscale, ma le scuse addotte possono verosimilmente essere moltissime altre. È chiaro anche che si chiede di fare il tutto entro tre giorni dalla ricezione del messaggio, poiché il rischio è quello di vedersi raddoppiare l’importo da pagare, quindi di cliccare su un link ed effettuare il pagamento. Nonostante la costruzione piuttosto semplice della truffa, sembra che i portali finti della piattaforma PagoPA, ovvero il finto sito della PA dove i cittadini erroneamente si trovano a elargire soldi ai malviventi, siano fatti con una discreta cura sia dei caratteri che delle immagini, quindi è anche facile cadere in trappola. C’è ovviamente anche il fattore legato alla stessa PagoPA, che ormai tutti conoscono e luogo unico sul quale si possono effettuare pagamenti online alle PA, che quindi può ispirare più fiducia a coloro che aprono il messaggio.
A prescindere però da tutte queste considerazioni sullo stile adottato dai criminali informatici, è anche necessario sottolineare gli aspetti che ci dovrebbero far capire subito che si tratta di una truffa, che non sono pochi. Innanzitutto il mezzo utilizzato, poiché non è possibile che PagoPA inoltri email o messaggi agli utenti in prima persona richiedendo oltretutto dati alle persone. Le multe si ricevono tramite i canali istituzionali, che possono essere le lettere cartacee (da firmare al momento della ricezione per conferma) o più banalmente le PEC, mentre si possono trovare anche sui portali come App IO, anche se magari non tutti sanno utilizzarla o l’hanno scaricata. I link di pagamento diretti non vengono mai mandati dalle PA, ma oltretutto guardando bene gli URL si può subito vedere, facendo anche mouse hover in certi casi, che non corrispondono in nulla a PagoPA. Si può anche verificare utilizzando le fonti ufficiali, come ad esempio il numero del verbale al quale si fa riferimento o alla multa stessa, quindi rivolgendosi alla sede del corpo di Polizia Municipale dichiarato sulla finta multa ricevuta e chiedere spiegazioni. C’è poi anche la questione del testo delle email, che nel caso di campagne phishing è spesso infarcito di errorini, refusi e linguaggio diverso da quello classico, più formale.
Tutte le attività sopracitate sono semplici da effettuare prima di lanciarsi sul link ed effettuare il pagamento su una finta piattaforma regalando in modo molto ingenuo dei soldi, ma oltre a fare queste verifiche è anche importante segnalare i casi alla Polizia Postale, che grazie alla collaborazione delle potenziali vittime potrà anche mettere un freno a tutta la campagna di phishing. La fretta di risolvere una questione, in questo caso finta, è un fattore del quale i truffatori sono ben consapevoli, ed è basandosi su questo che nascono queste offensive verso i cittadini, per cui è sempre giusto mantenere la calma e verificare tutto.
Fin qui abbiamo parlato di campagne veicolate con email, SMS e WhatsApp, ma se la multa la troviamo sul parabrezza della macchina con un finto QR code? Questi casi mescolano il fattore fisico (multa cartacea) con quello digitale (la necessità di entrare su un portale tramite un codice), ed anche in questo caso si punta sul momento di rabbia per aver preso la multa con la fretta di volerla pagare. È di qualche giorno fa la notizia che in varie città d’Italia i cittadini hanno trovato dei finti “scontrini” della Polizia Municipale contenente multe per divieto di sosta e codici per pagarle online. Controllando bene anche quei fogli, si notavano grossi errori di battitura e di costruzione del verbale stesso, ma probabilmente molti cittadini sono rimasti comunque vittima della truffa. Segno che i pericoli possono essere anche “ibridi” e che si deve mantenere il controllo anche in situazioni che fino a poco fa potevano sembrare più sicure perché “fisiche”, senza farsi prendere dalla fretta di pagare e controllando invece più che bene ciò che si ha in mano.
Fonte: 1
