In questi giorni gli utenti italiani stanno ricevendo moltissimi messaggi su un fantomatico blocco delle carte Postepay o Postepay Evolution causato da transazioni anomale e non autorizzate dal titolare. Il contenuto dell’email induce la vittima a cliccare su un link per poter confermare i propri dati personali, rivelando dunque la natura phishing del messaggio.
Vista la grande popolarità delle Poste italiane e il proprio bacino di utenza potremmo trovarci di fronte a quella che la Polizia Postale ha definito la truffa dell’estate.
Il testo della mail si presenta assolutamente plausibile e quindi ancor più pericoloso:
“Gentile, la sua carta PostePay Evolution è stata bloccata. Di seguito vengono fornite alcune informazioni e alcuni link da cliccare su cui andrebbero inseriti alcuni dati sensibili”.
Se la vittima clicca sul link presente nel corpo del messaggio verrà dirottata su un sito che riproduce quasi fedelmente quello di Poste Italiane, il che le renderà maggiormente difficoltoso rendersi conto del pericolo. Però come in altri casi simili, un’analisi più critica della pagina Web rivelerà alcune anomalie, come la presenza di errori grammaticali, che possono consentire agli utenti di riconoscere il sito fasullo.
La stessa Polizia di Stato ha pubblicato un avviso sui suoi canali per mettere in guardia gli utenti italiani:
“Non abboccate all’amo questo tipo di truffa phishing nella variante via mail e chat, è un classico del web e sembra si stia riproponendo massivamente in varie forme estetiche, ma sempre con contenuti approssimativi e in un pessimo italiano. Inoltre in tanti hanno anche segnalato l’arrivo di questo tipo di comunicazione anche via sms, un ulteriore canale che può mettere a rischio i risparmi di migliaia di italiani”.
Per proteggersi da questa nuova truffa ESET Italia propone a tutti gli utenti questi semplici suggerimenti, validi per ogni tipologia di attacco phishing:
1. Massima prudenza durante la navigazione online
Il primo consiglio potrebbe sembrare banale, ma non lo è affatto; il fattore umano è considerato infatti a ragione l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante usare attenzione e prudenza durante la navigazione on-line e nel leggere le email. Ad esempio, mai cliccare in automatico su link (anche sui social media), scaricare file o aprire allegati e-mail, anche se sembrano provenire da una fonte nota e attendibile.
2. Attenzione ai link abbreviati
E’ importante fare attenzione ai collegamenti abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l’utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo.
Gli esperti di ESET consigliano di posizionare sempre il mouse sul link per vedere se questo effettivamente punta al sito che di interesse o se al contrario potrebbe indirizzare verso altre destinazioni pericolose.
I criminali informatici possono usare questi siti ‘falsi’ per rubare i dati personali inseriti o per effettuare un attacco drive-by-download, infettando il dispositivo con dei malware.
3. Dubbi su un messaggio di posta? Leggerlo di nuovo!
Le email di phishing sono spesso evidenti e identificarle è abbastanza facile. Nella maggior parte dei casi presentano infatti molti errori di battitura e punteggiatura, parole interamente scritte in maiuscole e vari punti esclamativi inseriti a caso nel testo. Inoltre hanno spesso un tono impersonale e saluti di carattere generico, tipo ‘ Gentile Cliente ‘, seguiti da contenuto non plausibile o fuori contesto.
I cybercriminali spesso commettono errori in queste e-mail, a volte anche intenzionalmente per superare i filtri anti-spam dei provider.
4. Diffidare dalle minacce e dagli avvisi di scadenze imminenti
Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente. Ad esempio, nel 2014 eBay ha chiesto ai propri clienti di modificare le password rapidamente dopo aver subito una violazione dei dati. Questa però è una eccezione alla regola; di solito, le minacce e l’urgenza – soprattutto se provenienti da aziende estremamente famose – sono un segno di phishing.
Alcune di queste minacce possono includere le comunicazioni su una multa, o il consiglio a bloccare il proprio conto. Bisogna ignorare queste tattiche intimidatorie e contattare il mittente privatamente attraverso altri canali.
5. Navigare sicuri sul protocollo HTTPS
Si dovrebbe sempre, ove possibile, usare un sito Web sicuro per navigare (indicato da https://blog.futuretime.eu // contraddistinto dall’icona a “lucchetto” nella barra degli indirizzi del browser), soprattutto quando si trasmettono delle informazioni sensibili online come ad esempio i dati della carta di credito.
A tal proposito riportiamo il sito ufficiale delle carte Postepay, che è accessibile esclusivamente sul protocollo HTTPS:
https://blog.futuretime.eu//postepay.poste.it/
Non si dovrebbe mai usare una rete WiFi pubblica per accedere al proprio conto bancario o Postepay, per acquistare o immettere informazioni personali online. In caso di dubbio, utilizzare la connessione 3/4G o LTE del vostro dispositivo.
Lascia un commento