Attenti alla finta email dell'INPS: svuota il conto corrente

Hacker di nuovo in azione in cerca di vittime alle quali sottrarre i dati di accesso al conto corrente online, al fine di effettuare bonifici verso i propri conti all’estero. L’allarme, ufficiale, è stato lanciato dal CERT (il Computer Emergency Response Team) dell’Agenzia per l’Italia Digitale (AgID) tramite Twitter.

Si tratta di una campagna di phishing bancario abbastanza tradizionale, via email, ma molto efficace perché ben fatta. Sia il testo dell’email che la pagina Web usata per rubare le credenziali del conto online, infatti, sono fatti molto bene e, in più, il “gancio” è uno di quelli che funziona sempre: soldi gratis.

La finta email dell’INPS

La finta email, inviata dai truffatori per ingannare gli utenti, riporta i loghi dell’INPS, l’Istituto nazionale della previdenza sociale al quale vanno i nostri contributi previdenziali, che diventeranno un giorno la nostra pensione.

Da un indirizzo email che non è quello dell’INPS all’utente arriva una email che sembra dell’INPS, nella quale si annuncia la possibilità di ricevere un rimborso di 615 euro sui tributi pagati nel periodo 2019/2023.

In pratica si dice alla potenziale vittima che ha pagato troppi contributi e che per recuperarne un po’ deve compilare un modulo. Ecco il testo dell’email truffa:

Con la presente comunicazione la informiamo che il nostro sistema automatico ci ha indicato che lei soddisfa tutti i requisiti e le condizioni per recuperare l’importo di 615,00 euro sulle tasse e/o contributi pagati Tra gli anni 2019/2023.

Tuttavia, abbiamo provato ad effettuare il pagamento dell’importo indicato tramite bonifico bancario ma l’operazione non è andata a buon fine perché i suoi dettagli bancari che sono nel nostro possesso risultano errati o incompleti.

Per completare il processo la invitiamo a visitare il nostro sito per aggiornare le sue coordinate bancarie.

Segue, ovviamente, il link alla pagina Web dove si consuma la truffa vera e propria. Qui l’utente trova i loghi di diverse banche, tra le quali deve scegliere la sua e subito dopo deve comunicare i propri dati di accesso al conto corrente. Se lo fa, allora il conto è in mano agli hacker.

In particolare, gli istituti di credito presi di mira sono Nexi, Poste, Unicredit e Intesa Sanpaolo.

Truffa INPS: è molto pericolosa

Niente di particolarmente innovativo, dunque, in questa campagna di phishing a tema contributi INPS scoperta dal Cert-AgID. Ma l’allarme è dovuto al fatto che è una campagna semplice, ma ben fatta.

Al netto di pochissimi refusi, infatti, il testo dell’email è perfetto e credibile, tecnicamente quasi corretto (l’INPS si occupa solo di contributi, non di tasse) e in ogni caso più che credibile. Chi riceve questa email, quindi, può cascarci e cliccare sul link.

Truffa INPS: come difendersi

In questo caso, come in tutti i casi di tentato phishing, vince chi si fa sempre una domanda in più e non una in meno: quanto è credibile questa comunicazione? Chi la sta mandando veramente? L’indirizzo email è realmente quello dell’INPS? L’email riporta i contatti reali dell’Istituto ai quali è possibile chiedere informazioni?

Insomma: per difendersi dal phishing ci vuole sempre molta attenzione e molta diffidenza. D’altronde nessuno regala nulla, men che meno seicento euro, e l’INPS non comunica mai via email eventuali rimborsi: al massimo, infatti, lo fa tramite posta raccomandata.