Falsi messaggi INPS: attenzione alla truffa via SMS

Recentemente abbiamo visto un report tratto dal sito di CERT-AgID, portale pubblico che si occupa di raccogliere segnalazioni e diffondere informazioni sulle campagne malevole che circolano in Italia fornendo anche consigli per proteggersi. Nel report abbiamo visto come a tutt’oggi siano ancora le caselle email ordinarie lo strumento usato oltre 4 volte su 5 dagli hacker per diffondere malware, rubare dati e quant’altro agli utenti del web del nostro paese. Tuttavia, anche le minacce via SMS sono all’ordine del giorno e prendono di mira principalmente gli utilizzatori di device mobili con sistema operativo Android.

È di pochissimi giorni fa la notizia, a tale riguardo, di una campagna di smishing, ovvero il phishing effettuato utilizzando messaggi SMS, rivolto agli utenti italiani e perpetrato utilizzando uno dei grandi classici delle truffe: il falso avviso INPS. Partendo dall’inizio, CERT-AgID spiega che utilizzando due diversi domini come appoggio per la landing page truffaldina, è stata inviata una grande quantità di messaggi che vuole spingere coloro che li ricevono ad inserire i propri dati e immagini dei propri documenti. Nel messaggio che si riceve, il destinatario legge che è necessario effettuare l’accesso per aggiornare il proprio profilo previdenziale, tutto per non incorrere nella sospensione degli emolumenti INPS. Ovviamente viene messo a disposizione un link che porta alla pagina già citata, creata in modo da somigliare il più possibile a quella ufficiale, logo incluso.

Nella pagina d’atterraggio, che come dicevamo è stata creata appoggiandosi a domini del tutto differenti a quelli di INPS, troviamo diversi inviti ad effettuare varie attività. Si parte chiedendo una foto del fronte della carta d’identità, una foto del retro, un selfie col documento in mano. Si continua con la tessera sanitaria, chiedendo sempre una foto del fronte ed una del retro ed infine si passa alla patente di guida, chiedendo anche stavolta un selfie con essa in mano dopo le foto fronte-retro. C’è da notare che tutte le indicazioni su come effettuare il caricamento dei documenti, per ciascuno dei quali vengono forniti pratici pulsanti Sfoglia, sono scritte con dovizia di particolari e con una certa precisione, proprio per far cadere più facilmente in trappola la possibile vittima, prevedendo anche eventuali messaggi d’errore in caso di caricamento errato.

Il tutto è finalizzato, spiega CERT-AgID, alla raccolta di tutto il materiale necessario per l’attivazione di SPID a nome altrui, di modo da poter avere accesso poi alle app ed ai portali online, proprio come quella di INPS ma non solo, nelle quali vengono inseriti gli IBAN per gli emolumenti pubblici e cambiarli per farli direzionare sui propri conti. Se non bastasse, i criminali potrebbero anche raccogliere tutto il materiale anche per rivenderlo online e permettere anche ad altri hacker di sfruttarli, monetizzando anche con la loro vendita.

Come si può vedere, in questo caso la truffa riscontrata non è di banale organizzazione, poiché punta a raccogliere materiale specifico senza cadere nella tentazione di richiedere direttamente l’inserimento di carte di credito come spesso leggiamo anche su questo blog. Ciò deve far capire che le truffe via SMS, sebbene meno perpetrate, possono portare a problemi seri, anche se in questo caso va anche aggiunto che per poter fare breccia sarebbe anche necessario uno scarso controllo da parte della Certification Authority che rilascerebbe gli eventuali SPID fasulli. Per evitare problemi, comunque, è sempre necessario vedere bene chi sta mandando il messaggio senza fermarsi a ciò che leggiamo subito sullo schermo dello smartphone ma guardando anche i dettagli dell’SMS. In secondo luogo vedere le pagine d’atterraggio con attenzione è sicuramente un plus, ma va fatto aguzzando moltissimo la vista perché i criminali talvolta spostano due semplici lettere facendo risultare l’URL molto simile all’originale.

 

Fonte: 1