Postepay, occhio alla nuova truffa che prosciuga il conto

I primi due mesi del 2023 hanno registrato numerosi tentativi di phishing tramite sms. Tramite link, i truffatori chiedono dati e credenziali dell'home banking

Pubblicato: 28 Febbraio 2023 21:57

Foto di Maurizio Perriello

Maurizio Perriello

Giornalista politico-economico

Giornalista e divulgatore esperto di geopolitica, guerra e tematiche ambientali. Collabora con testate nazionali e realtà accademiche.

Il 2023 è partito subito “forte” sul versante delle truffe online, con migliaia di segnalazioni da parte degli utenti. Dopo i falsi messaggi che sfruttano il nome dell’INPS (di cui abbiamo parlato qui) e all’inganno della falsa raccomandata, la nuova minaccia per i contribuenti coinvolge il mondo Postepay.

In cosa consiste la truffa su Postepay

Negli ultimi giorni si sono moltiplicate le segnalazioni da parte degli utenti di un sms truffaldino sulla necessità di reimpostare la propria password Postepay. Molti utenti sono caduti nel tranello, cliccando sul link contenuto nel messaggio e compilando il relativo form. La grafica della pagina web che si apre è apparentemente perfetta dal punto di vista grafico e quindi “avvalora” la comunicazione.

Il form chiede di inserire i propri dati personali e di accesso all’home banking, esponendo il malcapitato a rischi per quanto riguarda il saldo del conto. La medesima modalità di phishing è stata utilizzata per colpire anche correntisti di BPER Banca, con tanto di schermata credibilissima in cui inserire i dati d’accesso per “regolarizzare il pagamento di un acquisto online” (qui abbiamo parlato del vishing, la truffa che svuota i conti in banca).

Come difendersi: i consigli di Poste Italiane

Vista l’imponente mole di tentativi di truffa, Poste Italiane è intervenuta da diverso tempo per mettere in guardia i propri clienti e fornire le istruzioni per difendersi. Il primo indizio, praticamente una prova, che ci si trova di fronte a una comunicazione falsa riguarda la richiesta di dati. Il Gruppo ricorda infatti che Poste Italiane S.p.A. e PostePay S.p.A. “non chiedono mai in nessuna modalità (e-mail, sms, chat di social network, operatori di call center, ufficio postale e prevenzione frodi) e per nessuna finalità“:

  • le credenziali di accesso al sito http://www.poste.it e alle App di Poste Italiane (il nome utente e la password, il codice PosteID);
  • i dati delle carte (il PIN, il numero della carta con la data di scadenza e il CVV);
  • i codici segreti per autorizzare le operazioni (codice PosteID, codice conto, OTP – One Time Password ricevute per sms).

Non è inoltre possibile che Poste chieda a un cliente di disporre transazioni di qualsiasi natura paventando falsi problemi di sicurezza sul conto o sulla carta, “tantomeno spingendo l’utente a recarsi in Ufficio Postale o in ATM per effettuarle”. Se qualcuno, “spacciandosi per un operatore di Poste Italiane S.p.A. o PostePay S.p.A., dovesse chiederti quanto sopra riportato, puoi essere sicuro che si tratta di un tentativo di frode, quindi non fornirle a nessuno”.

Quattro regole d’oro contro le truffe

Poste Italiane ha realizzato un vademecum di quattro regole fondamentali per disinnescare le potenziali truffe su conti correnti e carte.

  1. controlla sempre l’attendibilità di una e-mail prima di aprirla: verifica che il mittente sia realmente chi dice di essere e che non si finga qualcun altro (ad esempio controlla come è scritto l’indirizzo che ha inviato la mail);
  2. non scaricare gli allegati delle mail sospette prima di aver verificato che il mittente sia ufficiale;
  3. non cliccare sul link contenuto nelle mail sospette; se per errore dovesse accadere, non autenticarti sul sito falso e chiudi subito il browser;
  4. segnala a Poste Italiane eventuali mail di phishing inoltrandole all’indirizzo antiphishing@posteitaliane.it; subito dopo elimilale e svuota il cestino.