Negli ultimi giorni si sta diffondendo una nuova truffa online che sfrutta il nome di Esselunga e, in particolare, il programma fedeltà Carta Fidaty. Tutto parte da un messaggio apparentemente credibile che informa l’utente della presenza di “21.980 punti accumulati” in scadenza, invitandolo a cliccare su un link per riscattarli immediatamente. Il testo è credibile, sfrutta il nome della catena ma rimanda a un sito falso. È qui che scatta l’inganno svuota conto.
Come funziona la nuova truffa dei punti Esselunga
Il meccanismo è quello classico del phishing, ma con elementi sempre più sofisticati. Il testo è curato, il numero di punti indicato è plausibile e la comunicazione sembra arrivare direttamente dall’azienda. Tutto è studiato per spingere l’utente a cliccare senza verificare. Una volta aperto il link, però, si entra in una pagina che imita il sito ufficiale e chiede di inserire dati personali o bancari. È in questo momento che i truffatori ottengono le informazioni necessarie per sottrarre denaro.
La truffa parte da una promessa concreta: 21.980 punti Fidaty. Il testo utilizzato è generalmente simile: “Gentile Cliente, i 21.980 punti accumulati sulla sua Carta Fidaty stanno per scadere. La invitiamo a riscattarli subito per continuare a godere dei vantaggi riservati ai clienti Fidaty”.
Come è possibile notare, il messaggio gioca anche sull’urgenza. I punti vengono indicati come “in scadenza”, pertanto l’utente viene spinto ad agire subito per non perdere il presunto beneficio. Questo riduce il tempo per riflettere e aumenta la probabilità di cliccare sul link (una pagina che riproduce loghi, colori e struttura del sito reale). Ed è proprio così che viene chiesto di inserire informazioni personali: nome, cognome, email, numero di telefono e anche dati della carta.
Agli utenti infatti viene richiesto il pagamento per le “spese di spedizione” per l’invio del premio, così i truffatori hanno accesso ai dati bancari e con queste informazioni possono effettuare addebiti, acquisti online o tentare accessi ai conti. Alcune versioni della truffa vanno oltre e chiedono anche credenziali di accesso o codici di sicurezza inviati via SMS. In questo modo i criminali possono completare operazioni fraudolente in tempo reale.
I segnali per riconoscere la truffa
Ci sono alcuni elementi che permettono di individuare il tentativo di frode. Il primo è il dominio del link: spesso è simile a quello ufficiale ma con piccole variazioni. Basta una lettera diversa o un’estensione insolita per indicare un sito falso.
Un altro segnale è la presenza di errori nel testo, anche minimi. Non sempre compaiono, ma quando ci sono rappresentano un campanello d’allarme. Anche la richiesta di inserire dati bancari per ottenere un premio dovrebbe far scattare immediatamente il sospetto.
Infine, bisogna diffidare sempre dei messaggi che creano urgenza o minacciano la perdita di un beneficio. Le comunicazioni ufficiali difficilmente utilizzano questo tipo di pressione.
Come difendersi
La prima regola è non cliccare mai sui link contenuti in SMS o email sospette. Se si vuole verificare la presenza di punti o premi, è sempre meglio accedere direttamente al sito ufficiale digitando l’indirizzo manualmente nel browser oppure utilizzando l’app ufficiale.
È importante anche non inserire mai dati personali o bancari su pagine raggiunte tramite messaggi. Le aziende non chiedono informazioni sensibili in questo modo. In caso di dubbio, conviene controllare le comunicazioni ufficiali o contattare direttamente il servizio clienti.
Un’altra buona pratica è attivare le notifiche bancarie in tempo reale. In questo modo è possibile individuare immediatamente eventuali movimenti sospetti e bloccare la carta. Anche mantenere aggiornato il browser e il sistema operativo aiuta, perché molti strumenti di sicurezza segnalano siti potenzialmente pericolosi.
Cosa fare se si è cliccato sul link
Se si è aperto il link ma non sono stati inseriti dati, è sufficiente chiudere la pagina. Se invece sono state fornite informazioni personali o bancarie, è necessario agire subito. Bisogna contattare la banca, bloccare la carta e monitorare i movimenti.
È consigliabile anche cambiare le password eventualmente utilizzate e attivare l’autenticazione a due fattori dove possibile. Segnalare la truffa alle autorità competenti può inoltre aiutare a limitare la diffusione.