Le campagne di phishing sono sempre in agguato e fatte sempre meglio, tanto da rendere complesso distinguere tra una mail vera o fake. Quelle provenienti da Poste Italiane sono tra le preferite dagli hacker, che sfruttano la possibilità di pescare tra milioni di utenti.
Arriva una mail con oggetto: “Il tuo Spid di Poste Italiane è stato sospeso: riattivalo ora”. Grafica perfetta, loghi ufficiali, italiano corretto, tono pacato. Sembra tutto autentico. Ma è una truffa.
La mail sembra perfetta ma in realtà è una truffa
Il phishing classico si riconosce facilmente: errori grammaticali, toni allarmistici, grafica approssimativa. Questa email, invece, non presenta nessuno di questi difetti. Comunica con calma che il canone annuale dello Spid “non è stato ancora pagato” e propone due soluzioni: recarsi in un ufficio postale oppure cliccare su un link. Nessun ultimatum, nessuna minaccia. Proprio per questo è così pericolosa.
Poste Italiane, nella sezione sicurezza del proprio sito, è molto chiara su questo punto: l’azienda non richiede mai tramite email, Sms, telefono, social o sportello credenziali di accesso, Pin, Cvv o codici Otp. Non invita mai a effettuare transazioni per risolvere presunti problemi di sicurezza, né a recarsi presso Atm o uffici postali per questo tipo di operazioni.
I controlli da fare prima di cliccare
Prima di cliccare, è utile effettuare tre verifiche rapide che possono fare la differenza: controllare il dominio dell’indirizzo email del mittente; passare il mouse sul link senza cliccare; verificare direttamente sull’app ufficiale.
È importante controllare con attenzione l’indirizzo del mittente, non solo il nome visualizzato. Nel caso del phishing Spid, ad esempio, il mittente era [email protected]: plausibile, ma falso. Tutte le comunicazioni ufficiali di Poste Italiane arrivano esclusivamente da indirizzi con dominio @posteitaliane.it. Qualsiasi variazione è un segnale di allarme.
Prima di aprire qualsiasi link, si deve posizionare il cursore sopra senza cliccare. In basso a sinistra del browser apparirà l’indirizzo reale di destinazione. Se non contiene il dominio ufficiale dell’azienda non bisogna cliccare.
Infine, si può aprire l’app ufficiale e controllare lo stato del proprio account. Se tutto risulta attivo e regolare, la mail è falsa. Non bisogna mai fidarsi di comunicazioni esterne ma verificare sempre direttamente dalla fonte ufficiale.
Cos’è il phishing
Ilphishing è una tecnica di frode informatica. Sfrutta messaggi ingannevoli per indurre l’utente a cliccare su link che portano a siti contraffatti, visivamente identici a quelli ufficiali. L’obiettivo è rubare credenziali di accesso, numeri di carta di credito e codici Otp.
