L’Agenzia delle Entrate ha messo in guardia gli utenti, segnalando false mail inviate ai contribuenti proprio in queste ore, che nascondono malware dannosi e che prendono di mira computer, reti e qualsiasi dispositivo elettronico.
Una volta preso il controllo, gli hacker sono in grado di rubare informazioni personali, dati sensibili e arrivare persino ai conti corrente delle vittime.
L’ultima truffa segnalata dall’Agenzia delle Entrate
L’Agenzia delle Entrate ha reso noto, tramite i suoi canali ufficiale, che è in corso di diffusione una campagna di phishing attuata tramite false comunicazioni trasmesse via e-mail ai contribuenti.
I messaggi in questione segnalano correzioni di un’ipotetica istanza Civis, veicolano in realtà il “solito” malware (in questo caso si tratta del virus Ursnif- Gozi). L’utente, in pratica, viene invitato ad aprire un allegato pdf che viene spacciato come la copia dell’operazione effettuata. Si tratta però di un documento corrotto, che quindi va assolutamente cestinato senza aprirlo o scaricarlo.
Come riportato su FiscoOggi, rivista online dell’Agenzia delle Entrate: “L’amministrazione fiscale ribadisce la propria estraneità al nuovo tranello e disconosce con decisione le comunicazioni recapitate, le cui caratteristiche non sono affatto coerenti con le modalità di comunicazione dell’Agenzia con il cittadino. Poi aggiunge che se si riceve un messaggio di questo tipo lo si deve eliminare senza aprire allegati o cliccare link”.
Ricordiamo che le comunicazioni urgenti che invitano l’utente a regolarizzare la propria posizione tramite mail, sms o al di fuori dei canali ufficiali dell’Agenzia delle Entrate, non sono affatto coerenti con le modalità di comunicazione che l’Ente segue nel mettere al corrente i contribuenti. Ogni comunicazione ufficiale, infatti, viene comunicata sul portale AE, nell’area riservata o attraverso appositi avvisi – circolari o messaggi – che vengono pubblicati tempestivamente sul sito delle Entrate.
In caso di dubbi, comunque, è sempre possibile consultare l’apposita pagina “Phishing” presente sul portale delle Entrate, in cui sono riportati gli avvisi relativi alle ultime truffe e fornite le informazioni utili per non cadere nei tranelli. Bisogna sempre ricordare, infine, che l’Agenzia delle Entrate non invia né richieste mai per posta elettronica comunicazioni contenenti dati personali dei contribuenti.
Come riconoscere le truffe
Il phishing è una tecnica con la quale si cerca di carpire informazioni riservate come, ad esempio, il numero della carta di credito o le credenziali di accesso a vari sistemi come la telebanca.
La tecnica con la quale si conduce questo attacco è sostanzialmente semplice: si distribuisce in maniera massiccia una mail che riproduce, in maniera più o meno accurata, quella di un servizio noto, per esempio il tracking di un corriere o un’informativa della banca (qui ve ne abbiamo segnalato una di truffa simile). Nel testo della mail, oppure all’interno di un allegato, è presente un link che porta a una pagina web, anch’essa il più possibile simile a quella “legittima”, nella quale l’utente ignaro inserisce in buona fede le informazioni riservate che vengono in questo modo raccolte dall’attaccante. il sistema è simile, per certi versi, alla pesca a strascico: si getta una rete più ampia possibile e si cerca di raccogliere ciò che vi rimane impigliato. Il nome “phishing” proviene proprio dall’idea di “andare a pesca” di informazioni riservate.
Il furto di informazioni non è tuttavia l’unico rischio: le tecniche tipiche del phishing vengono infatti utilizzate per mettere in atto anche attacchi più pericolosi. Il sistema di base è lo stesso: si tenta di ingannare il destinatario dell’attacco e convincerlo a eseguire un’operazione “normale”, come cliccare su un link o aprire un file allegato che all’apparenza sembra di provenienza legittima o comunque innocua. Lo scopo è quello di lanciare un malware, un software malevolo che può servire, ad esempio, per prendere il controllo del computer attaccato, oppure per estorcere denaro tramite un ransomware. Non è la prima volta che accade, anche con altri Enti: qui per esempio vi abbiamo segnalato la truffa del finto bonus Inps, qui invece il falso messaggio svuota conto di Poste Italiane.
Come difendersi
Per difendersi dagli attacchi di phishing e da malware dannosi occorre tenere sempre presente che lo strumento più efficace è l’uso consapevole degli strumenti informatici.
Gli antivirus moderni offrono ormai un buon livello di protezione, ma per ridurre al minimo i rischi di incappare in una di queste trappole è fondamentale adottare una serie di accorgimenti.
Per esempio, riuscire a riconoscere una mail sospetta è il primo passo. Ma come? Intanto, cominciando col chiedersi se il messaggio proviene da un mittente noto, poi verificando se è scritto in italiano corretto.
Inoltre, se ci sono collegamenti nel messaggio, la prima verifica da fare è se, al passaggio del mouse, il link corrisponde al testo (senza mai cliccare). Se ci sono allegati, invece, bisogna sempre controllare che abbiano una sola estensione (ad esempio .docx e non .docx.exe).
Ad ogni modo, non solo quando si ha il sospetto che non sia una comunicazione ufficiale ma in generale, piuttosto che aprire, scaricare o consultare un documento ricevuto per mail o sms, è preferibile contattare il mittente per altra via (un numero di telefono o un indirizzo email ufficiale) e chiedere conferma.
