Un altro tentativo di phishing, un’altra truffa a danno dei titolari di carta Postepay che sfrutta il nome di Poste Italiane cercando di trarre in inganno chi non si rende conto del possibile raggiro. Ma come riconoscere l’sms svuota conto? C’è un modo per difendersi?
“La tua carta è stata bloccata”, ma è un finto sms
Il finto sms di Poste Italiane riporta il seguente messaggio:
Poste Italiane. La tua carta è stata bloccata per mancata sicurezza web. Verifica ora per continuare a operare.
C’è poi il rimando a un link esterno, con l’invito a cliccare. Chi lo riceve potrebbe credere davvero che possa trattarsi di una comunicazione ufficiale. Ma attenzione perché non è così. È infatti di una vera e propria truffa che sfrutta il classico meccanismo del phishing con l’unico scopo di rubare i dati sensibili e infettare i dispositivi elettronici.
Poste e PostePay non chiedono mai le credenziali di accesso e i codici di sicurezza attraverso link inviati via sms o al telefono, né di installare nuove applicazioni come strumento per la sicurezza.
Come funziona il phishing e come agiscono gli hacker
Il phishing è una frode che si realizza con l’invio di false comunicazioni, via e-mail o messaggi, allo scopo di carpire i dati personali della vittima. Funziona così:
- gli hacker inviano una e-mail o un messaggio il cui mittente sembra essere un’azienda o un ente, come nel caso di Poste Italiane, con un contenuto accattivante o allarmante, che spinge il cliente a cliccare sul link presente nel testo e a connettersi a un sito fittizio identico al sito web ufficiale o istituzionale;
- una volta aperta l’url, vengono richieste informazioni riservate come nome utente, password di accesso, numero del cellulare, estremi della carta e, in alcuni casi, persino codici dispositivo legati a conti bancari e attività finanziarie ricevuti per sms.
Come difendersi dalla truffa della “carta bloccata”
In questi casi è importante evitare di aprire le e-mail o gli sms di questo tipo o scaricarne gli allegati. È fondamentale poi non inserire mai i dati di login, le password, le informazioni personali e i codici Otp su siti internet raggiunti cliccando su link esterni o collegamenti.
Poste Italiane, nel suo vademecum contro le truffe più comuni, ricorda infatti che:
- non richiede mai i dati riservati delle carte di pagamento;
- non manda mai e-mail o sms con comunicazioni allarmanti su un blocco del conto, su pagamenti insoluti o su addebiti inaspettati.
Inoltre, è necessario sempre:
- conservare con la massima cura il nome utente, la password e il codice dispositivo;
- non collegarsi al sito indicato nella e-mail;
- non autenticarsi sul sito falso e chiudere subito il browser cestinando immediatamente l’e-mail di phishing;
- non fornire a terzi alcuna credenziale o dato personale.
Il miglior modo di difendersi, dunque, è quello di evitare di cliccare su qualsiasi collegamento e cestinare il messaggio fraudolento. È possibile anche segnalare a Poste Italiane il tentativo di phishing, senza rispondere e inoltrare tutti i dettagli e gli screenshot della comunicazione sospetta all’indirizzo antiphishing@posteitaliane.it, che è sempre attivo e disponibile.