Negli ultimi anni l’Italia è diventata uno dei bersagli preferiti dai criminali informatici, che sfruttano con crescente frequenza e astuzia la digitalizzazione dei servizi pubblici per trarre in inganno i cittadini. Piattaforme nate per semplificare il rapporto con la pubblica amministrazione, come l’INPS, l’Agenzia delle Entrate e i sistemi legati all’identità digitale o ai pagamenti elettronici, vengono costantemente replicate in modo fraudolento per conquistare la fiducia degli utenti. L’alto livello di adozione di strumenti digitali ha purtroppo allargato il bacino delle potenziali vittime, rendendo le campagne di ingegneria sociale sempre più sofisticate e difficili da riconoscere a un primo sguardo superficiale.
L’ultimo allarme lanciato dagli esperti del settore riguarda una massiccia operazione di frode multi-vettore che prende di mira SEND, il Servizio Notifiche Digitali gestito da PagoPA, una piattaforma cruciale che i cittadini utilizzano per ricevere comunicazioni ufficiali con valore legale. I cybercriminali stanno diffondendo falsi messaggi sia tramite posta elettronica sia attraverso SMS speculativi, un fenomeno noto come smishing, imitando quasi alla perfezione lo stile e le comunicazioni reali del servizio. Il meccanismo psicologico fa leva, al solito, su urgenza, gravità del fatto e timore reverenziale verso le istituzioni, presentando la notifica come un sollecito di pagamento per presunte sanzioni stradali mai saldate, completo di cifre specifiche, numeri di pratica verosimili e scadenze imminenti volte a generare panico nel destinatario.
Il fine ultimo di questa specifica campagna di phishing è quello di spingere la vittima a cliccare su un collegamento esterno che conduce a una copia esatta del sito web istituzionale, effettivamente prodotta con dovizia di particolari, dove viene richiesto di saldare la multa fittizia inserendo gli estremi della propria carta di credito. Prima di tutto, viene chiesto di inserire però il numero di targa specificando, come accennato, tutti i rischi del mancato pagamento degli emolumenti, come ad esempio la mora. Qualsiasi targa si inserisca, appare un resoconto dell’infrazione stradale commessa ed un conto finale per la multa, nel caso posto come esempio da AgID la cifra è molto bassa, poi si passa all’inserimento dei dati anagrafici e, si suppone, delle carte di pagamento. Gli specialisti del CERT-AGID, in stretta sinergia con il team di sicurezza di PagoPA, sono già al lavoro per mappare la rete di domini malevoli utilizzati e procedere al loro oscuramento immediato, analizzando le tracce informatiche lasciate dai truffatori per bloccare i server prima che possano colpire altre persone. Questa tipologia di attacco dimostra come i criminali abbiano ormai abbandonato i vecchi testi sgrammaticati del passato a favore di formati grafici impeccabili e toni burocratici estremamente credibili.
Questa ondata di attacchi ci spinge a riflettere su come la sicurezza informatica non sia solo una questione di software e firewall, ma dipenda in larghissima parte dal fattore umano e dalla nostra consapevolezza quotidiana. Per evitare di cadere in queste trappole è indispensabile ricordare che i servizi ufficiali come SEND non richiedono mai l’inserimento diretto di dati bancari o dettagli della carta di credito tramite un link inserito in un semplice SMS o in una email generica. Diventa quindi fondamentale verificare sempre l’indirizzo URL nella barra del browser prima di digitare qualsiasi informazione sensibile, controllando la presenza di anomalie nel nome del sito che spesso differisce da quello originale per una sola lettera o per un’estensione insolita. Il canale principale per ricevere le vere notifiche digitali resta l’App IO, insieme alla Posta Elettronica Certificata o alla tradizionale raccomandata cartacea, perciò in caso di minimo sospetto è sempre opportuno evitare ogni interazione con il messaggio e segnalare l’accaduto inoltrando la comunicazione sospetta agli indirizzi ufficiali messi a disposizione da PagoPA e dal CERT-AGID per contribuire attivamente alla protezione dell’intera comunità digitale.
Fonte: 1
