Sta girando in queste ore un nuovo tentativo di smishing (phishing via sms) che ha come obiettivo quello di truffare lavoratori e pensionati usando il nome e la grafica dell’Inps. Alle potenziali vittime arriva un messaggio in cui è scritto che si ha un contributo previdenziale non pagato, con la minaccia di non meglio identificate azioni legali in caso di mancato versamento. C’è ovviamente un link che porta a un sito che clona quello dell’Istituto nei minimi dettagli, pensato per far inserire ai malcapitati i dati della carta di credito.
Attenzione. L’Inps stesso ha chiarito a più riprese che le sue notifiche via sms non contengono mai un collegamento cliccabile.
Indice
Il finto sms dell’Inps e la richiesta
Il testo segnalato recita quanto segue.
INPS: Hai un contributo previdenziale non pagato. Ti preghiamo di saldarlo al più presto, altrimenti potresti incorrere in azioni legali.
Segue un link che rimanda a un dominio (nel caso segnalato è inpst.cfd, ma l’indirizzo potrebbe cambiare) che non ha nulla a che vedere con il sito ufficiale dell’Istituto, che è inps.it.
La leva della nuova truffa è quella classica del phishing: un debito inventato e l’urgenza di pagare per evitare guai legali, il tutto condito dal tono intimidatorio.
Cosa succede se si clicca
La pagina di destinazione imita la grafica dell’Istituto in modo accurato, compresa la favicon (l’icona che appare nel browser), con un indirizzo simile a quello vero. Il percorso è costruito in tre passaggi per dare parvenza di procedura ufficiale:
- Identificazione – viene chiesto solo il codice fiscale (ne basta uno qualsiasi, anche inventato: il sito non interroga un archivio reale e restituisce comunque un debito);
- Verifica indebiti – compare un riepilogo con un debito principale di 5,20 euro, sanzioni e interessi per 1,40 euro e un totale di 6,60 euro, con tanto di codice pagamento, data di scadenza e un conto alla rovescia della sessione che spinge a fare in fretta;
- Pagamento – la pagina chiede numero della carta, scadenza e CVV, oltre al nome del titolare e a un numero di telefono.
L’importo è studiato apposta: 6,60 euro sembrano pochi e si paga subito “per stare tranquilli”.
Il vero bottino non è però quella cifra, ma i dati della carta di pagamento e il codice di sicurezza, che finiscono nelle mani dei truffatori. Le rassicurazioni mostrate a schermo (“Connessione sicura tramite Spid e Cie”, “Crittografia SSL 256-bit”) servono a mettere a proprio agio il truffato.
Come evitare le truffe e il phishing
Come già detto, l’Istituto ha precisato con più messaggi che le notifiche ufficiali via sms hanno funzione solo informativa e non contengono mai un collegamento attivo. Significa che ogni sms a nome dell’Inps con un link è falso ed è un tentativo di smishing.
Inoltre i pagamenti verso l’Inps passano dai canali ufficiali (modello F24, portale dei pagamenti con PagoPA), mai da una pagina raggiunta con il link di un sms che chiede numero della carta e il CVV. Nel suo vademecum antitruffe, l’Istituto ricorda che fa bloccare i domini fraudolenti, ma i truffatori ne aprono continuamente di nuovi cambiando il testo dei messaggi.
Le indicazioni dell’Inps e della Polizia Postale sono:
- non cliccare sul link, non inserire dati e non pagare;
- non rispondere al messaggio e cancellarlo;
- verificare la propria posizione solo accedendo in autonomia a inps.it con Spid, Cie o Cns;
- segnalare il messaggio all’Inps e alla Polizia Postale.
Chi ha già inserito i dati della carta deve contattare subito la banca per bloccarla, monitorare i movimenti e valutare una denuncia – che potrebbe però avere esito negativo, essendo contro ignoti che, probabilmente, si muovono all’esterno del perimetro italiano e sono difficilmente rintracciabili e punibili.