Attenzione all’ennesima truffa che sta allarmando gli italiani in questi giorni. L’INPS ha fatto sapere che è in corso un nuovo tentativo di phishing bancario che esorta la vittima ad effettuare dei presunti pagamenti all’Istituto. Il phishing è una tecnica utilizzata per appropriarsi di informazioni riservate relative a una persona o a un’azienda, come username e password, codici di accesso, come il PIN del cellulare, numeri di conto corrente, dati del bancomat e della carta di credito, ecc., con l’intento di sottrarre dati o, peggio, denaro.
Tra le truffe più diffuse e pericolose, è una frode informatica che mira al furto dei dati sensibili attraverso l’invio di email che fingono di provenire in questo caso dall’INPS. Avviene di solito via e-mail, ma possono essere utilizzati anche sms, chat e social media.
Il 96% degli attacchi di phishing arriva via e-mail. Un altro 3% viene eseguito tramite siti web dannosi e solo l’1% tramite telefono. Una ricerca di Symantec suggerisce che nel corso del 2020, 1 e-mail su 4.200 era un’e-mail di phishing. Solo per le aziende, negli ultimi anni il costo delle truffe di phishing è salito esponenzialmente. Secondo una ricerca del Ponemon Institute del 2021, il costo medio annuo di un phishing è di 14,8 milioni di dollari per un’azienda con 9.600 dipendenti, pari a poco più di 1.500 dollari per dipendente. Più del triplo dell’importo del 2015, che era di 3,8 milioni di dollari.
Come capire se è una truffa
Come ricorda il Garante della Privacy nel suo vademecum, il truffatore in genere si presenta come un soggetto autorevole: una banca, un gestore di carte di credito, un ente pubblico, ecc., che invita a fornire dati personali per risolvere particolari problemi tecnici con il conto bancario o con la carta di credito, per accettare cambiamenti contrattuali o offerte promozionali, per gestire la pratica per un rimborso fiscale o una cartella esattoriale, ecc..
Di solito i messaggi di phishing invitano a fornire direttamente i propri dati personali, oppure a cliccare su un link che rimanda ad una pagina web dove è presente un form da compilare. I dati così carpiti possono poi essere utilizzati per fare acquisti a spese della vittima, prelevare denaro dal suo conto o addirittura per compiere attività illecite utilizzando il suo nome e le sue credenziali. La truffa può colpire tutti, anche le mail private e non per forza aziendali.
Postepay, ecco la truffa che prosciuga il conto
La nuova truffa INPS del pagamento da 1,90 euro
L’INPS riceve ogni giorno numerose segnalazioni dagli utenti su questo fronte: una delle modalità riscontrate più di frequente è l’invio di false email che invitano ad aggiornare i propri dati personali o le proprie coordinate bancarie, tramite un link cliccabile, per ricevere l’accredito di pagamenti e rimborsi da parte dell’Istituto. In alcuni casi il link apre una falsa pagina dei servizi INPS.
In questo caso, per quanto riguarda la nuova truffa, il messaggio riguarda la richiesta di un saldo di appena 1,90 euro da versare all’INPS per presunti contributi non pagati. A differenza di altre truffe, il contenuto dell’email è scritto in italiano corretto e presenta il logo INPS, motivo per cui accorgersi che si tratta di un raggiro non è immediato.
Ecco qui l’immagine della mail-truffa:
Come ci contatta l’INPS
Come sempre, l’INPS ricorda che non dobbiamo mai comunicare i nostri dati sensibili o cliccare sui link che ci arrivano. L’Istituto può contattarci solo ed esclusivamente attraverso questi canali:
- SMS: questi SMS non contengono link, ma sollecitano un’azione da svolgersi accedendo ai servizi online INPS con le proprie credenziali. Massima attenzione dunque ai messaggi che invece richiedono l’apertura di un link
- chiamata telefonica: l’INPS contatta telefonicamente l’utente solo nei casi di prenotazione dell’accesso agli sportelli di sede con ricontatto telefonico e in caso di chiamate da operatori di Contact center e da operatori di Sportello mobile per le campagne di contatto verso i cittadini relative alle visite di revisione;
- lettere in cartaceo che riceviamo nella buca delle lettere
- documentazione digitale in Cassetta postale online;
- avvisi nell’area riservata MYINPS;
- comunicazioni via PEC
- rilevazioni di Customer Experience: l’Istituto invia all’utente una email contenente un link sicuro per accedere al questionario.
Come riconoscere la truffa della falsa raccomandata
Cosa fare sempre e cosa non fare mai
Come ricorda il Garante della Privacy, dati, codici di accesso e password personali non dovrebbero mai essere comunicati a sconosciuti. Banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali attraverso e-mail, sms, social media o chat: quindi, meglio evitare di fornire dati personali, soprattutto di tipo bancario, attraverso questi canali.
Se si ricevono messaggi sospetti, non clicchiamo mai sui link e non apriamo mai eventuali allegati, che potrebbero contenere virus o programmi cosiddetti “trojan” capaci di prendere il controllo dei nostri pc e smartphone. Spesso dietro nomi di siti apparentemente sicuri o URL abbreviate che si trovano sui social media si nascondono link a contenuti non sicuri.
Un trucco è posizionare sempre il puntatore del mouse sui link prima di cliccare: in molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati.
Occhio anche agli indirizzi. I messaggi di phishing sono progettati per ingannare e spesso utilizzano imitazioni realistiche dei loghi o addirittura delle pagine web ufficiali di banche, aziende ed enti. Tuttavia, capita spesso che contengano anche grossolani errori grammaticali, di formattazione o di traduzione da altre lingue.
La truffa dei finti contratti di luce e gas: come funziona
Anche il nome stesso del mittente potrebbe aiutarci a capire subito se si tratta di una truffa: un nome strano o eccentrico, o un indirizzo di posta elettronica con grossolane imitazioni di altre vere.
Diffidiamo anche dai messaggi che contengono toni intimidatori, come minacce di chiusura del conto bancario o di sanzioni se non si risponde immediatamente.
Per proteggersi è bene tenere sempre aggiornato pc e smartphone e installare un programma antivirus. Sarebbe utile anche non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare online. In ogni caso, è buona prassi impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato: banca online, e-mail, social e così via.
Se si fanno acquisti online, usiamo carte di credito prepagate o altri sistemi di pagamento che permettono di evitare la condivisione di dati del conto bancario o della carta di credito. Meglio poi attivare sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata.