Le truffe via email, nel nostro paese, sono ormai all’ordine del giorno come sappiamo bene, visto che siamo tutti tempestati da tentativi di phishing o smishing con modalità sempre più subdole e capillari. La truffa del mancato pagamento del pedaggio autostradale, ovvero quella di cui parleremo oggi, è l’esempio di una tendenza ormai consolidata in Italia, visto che nel nostro Paese, la quotidiana familiarità con servizi di massa come le reti autostradali, i sistemi di spedizione postale o i servizi bancari online viene regolarmente sfruttata dai criminali informatici per colpire nel segno, facendo leva sulle nostre abitudini e sulla fretta che caratterizza le nostre giornate. Questa volta, l’allarme lanciato è stato lanciato in data 8 maggio dallo CSIRT Italia, l’unità operativa dell’Agenzia per la Cybersicurezza Nazionale, accende i riflettori su una campagna malevola particolarmente insidiosa che non viaggia sulle tradizionali email, ma si insinua direttamente e addirittura su WhatsApp, una delle applicazioni di messaggistica più intime e utilizzate in assoluto.
La trappola scatta nel momento in cui sul telefono della vittima compare un messaggio che notifica un mancato pagamento del pedaggio autostradale, richiedendo il saldo di una cifra irrisoria, solitamente pari a 3,50 euro. È proprio la scelta di un importo così esiguo a decretare il successo della truffa, poiché una somma tanto bassa non desta particolare sospetto e spinge la persona a pagare immediatamente pur di risolvere la pendenza senza troppi pensieri. Per rendere il tutto estremamente credibile, il messaggio contiene un collegamento ipertestuale che indirizza l’utente verso una finta pagina di consultazione dei pedaggi, strutturata graficamente in modo speculare rispetto ai portali ufficiali delle società autostradali. Una volta atterrata su questo sito contraffatto, alla vittima viene chiesto di inserire il proprio numero di targa e, subito dopo, compare una schermata dettagliata che mostra un finto addebito non riuscito, completo di data, ora e classe del veicolo, con tanto di avviso formale che minaccia l’avvio di procedure di recupero crediti e sanzioni pecuniarie qualora non si proceda al saldo immediato.
Spinta dal timore di incorrere in sanzioni ben più pesanti, la vittima decide di procedere cliccando sul pulsante di pagamento e viene così indirizzata su un modulo online dove le viene richiesto di inserire i dati della propria carta di credito, inclusi il nome del titolare, il numero della carta, la data di scadenza e il codice di sicurezza CVV. Nel momento stesso in cui questi dati vengono digitati e confermati, essi finiscono direttamente nelle mani dei cybercriminali, che acquisiscono così il pieno controllo per effettuare transazioni fraudolente e svuotare il conto della vittima. Questo meccanismo di ingegneria sociale fa leva su una finta urgenza che disattiva il senso critico dell’utente, spingendolo ad agire d’impulso senza compiere le necessarie verifiche. Bisogna infatti ricordare che le società che gestiscono le autostrade e i servizi di telepedaggio non utilizzano mai canali di messaggistica istantanea come WhatsApp per richiedere pagamenti o notificare insoluti, e che qualsiasi comunicazione ufficiale in tal senso segue canali formali e tempistiche ben precise, mai immediate o aggressive.
Questa vicenda ci invita a riflettere su come la tecnologia, pur semplificando enormemente la nostra quotidianità, presti continuamente il fianco a nuove forme di vulnerabilità psicologica prima ancora che tecnica. La vera difesa contro queste minacce non risiede tanto nell’efficacia di un software antivirus, quanto nella nostra capacità di coltivare il dubbio e di rallentare il ritmo davanti a qualsiasi richiesta improvvisa di denaro o dati personali. In un mondo digitale in cui i confini tra ciò che è autentico e ciò che è artificiale si fanno sempre più labili, la prudenza e la verifica sistematica delle fonti attraverso i canali ufficiali rappresentano l’unica vera barriera per proteggere la nostra identità e il nostro patrimonio. Tornando invece sui consigli più pratici dati da CSIRT, diciamo che è importante diffidare sempre, come norma generale, di chi richiede pagamenti da effettuare in modo affrettato, controllare i domini di atterraggio dei link che vengono inviati, visto che spesso mostrano la inverosimiglianza con chi dice di aver scritto, non fare MAI tap su tali collegamenti e, ma questo è ovvio, non inserire dati. Se si inserissero malauguratamente i dati di pagamento richiesti, invece, è importante correre ai ripari contattando l’assistenza della propria banca. Invitiamo, prima di chiudere questa breve panoramica, a controllare gli screenshot presenti al link nelle fonti.
Fonte: 1
