19 Giugno 2021
16:42

Perché le notifiche email e SMS per il green pass sono una ricetta perfetta per le truffe online

Il green pass, o certificato verde, permetterà a vaccinati, guariti e negativi al tampone di circolare liberamente ovunque e senza restrizioni. Il metodo scelto per notificare i cittadini che il loro certificato è pronto presta però il fianco a campagne truffaldine basate su messaggi di posta e SMS fasulli.
A cura di Lorenzo Longhitano

L'approvazione tramite Dpcm del green pass europeo in Italia aiuterà anche da noi milioni di persone già vaccinate, guarite o negative al tampone a circolare liberamente e in sicurezza per tutto il continente. La soluzione scelta dall'UE porta con sé indubbi vantaggi in direzione del raggiungimento di una nuova normalità, ma non è esente da criticità; in particolare, il modo scelto per notificare la disponibilità dei certificati sugli smartphone dei cittadini – ovvero email e SMS – può inavvertitamente dare adito al proliferare di campagne truffaldine basate su questi canali di comunicazione.

Rischio phishing

Lo hanno dimostrato decine di raggiri online che anche nel passato recente hanno sfruttato come protagonisti involontari aziende come Poste Italiane, Apple, Decathlon e Carrefour: basta veramente poco per inviare in massa messaggi con esche capaci di portare le vittime a cedere i loro dati personali a malintenzionati. Nel caso del green pass, potrebbe essere tutto anche più facile: in effetti le autorità nostrane hanno chiarito che le notifiche sulla disponibilità della certificazione verranno recapitate a chi si è vaccinato attraverso email e messaggi di testo, e i cittadini stanno imparandolo già in queste ore attraverso stampa e social; a questo punto fingersi un ente governativo e contattare migliaia di individui proponendo link fasulli da seguire rischia di rivelarsi estremamente proficuo.

I fattori di rischio

Per alzare il livello di allerta nei confronti di eventuali truffe online che utilizzano il certificato verde come esca non c'è dunque bisogno di aspettare. Innanzitutto i truffatori – anche quelli attivi fuori dall'Italia – hanno a più riprese dimostrato una comprensione di ciò che avviene sul nostro territorio più che adeguata a cogliere di sorpresa le loro vittime, con riferimenti a nuove leggi effettivamente approvate, rincari in bolletta in arrivo e molto altro. Inoltre il green pass è una soluzione approvata da tutta l'Unione Europea: ovviamente non tutti i Paesi utilizzeranno notifiche SMS o email come farà il governo italiano, ma l'Italia non sarà neppure la sola a puntare su questi canali di comunicazione con i propri cittadini. Chi organizza questi raggiri si trova insomma un pubblico di potenziali vittime composto da decine di milioni di persone: tanti sono gli individui che dopo il vaccino si aspetteranno di ricevere una comunicazione via posta o messaggistica da un mittente che si qualifica semplicemente come il governo.

L'aspetto psicologico

Inserirsi in questo meccanismo con comunicazioni fasulle rischia di avere particolare successo anche per motivi legati alla disposizione psicologica delle potenziali vittime. Operazioni simili del resto vanno a buon fine perfino quando sul piatto vengono messi buoni sconto del valore di 100 euro. Cadere in eventuali tranelli può essere ancora più facile se i truffatori promettono la possiblità di circolare liberamente ovunque o, al contrario, minacciano di far saltare le ambite vacanze se non si installa una determinata app o non si immettono i propri dati personali in siti web creati ad arte: questi tipi di leva sono esattamente ciò che è in grado di far saltare le difese razionali che normalmente chiunque innalzerebbe di fronte a una comunicazione sospetta.

I truffatori hanno già nomi e numeri

A questo si aggiunge il fatto che chi organizza questi raggiri potrebbe essere già in possesso di alcuni dati personali delle vittime, come nomi e cognomi associati ai numeri e agli indirizzi email. Queste informazioni – trapelate negli anni attraverso fughe di dati come quelle che hanno coinvolto Ho.Mobile, Facebook e decine di altre grandi aziende – possono essere state inserite in vere e proprie banche dati della truffa, utilizzate lanciare campagne di comunicazione di massa che fanno credere a chi si contatta di essere chi non si è veramente: ad esempio, nel caso in oggetto, un ente governativo che si rivolge ai suoi cittadini con la formula "Gentile nome e cognome".

Come proteggersi

Per usare una formula abusata in questi giorni di campagna vaccinale, i benefici legati alla diffusione dei pass vaccinali in formato digitale superano comunque abbondantemente i rischi – che però non vanno sottovalutati. Per ridurre questi ultimi a zero, basta tenere sempre a mente che le comunicazioni che contengono i codici non richiedono mai di installare app che non provengano dagli store digitali dello smartphone, e provengono sempre da mittenti che si firmano in modi specifici: "Ministero della Salute" e "noreply.digitalcovidcertificate@sogei.it" per le email e "Min Salute" per gli SMS.

Il messaggio autentico

In particolare il contenuto dei messaggi è scarno e contiene solamente tre informazioni importanti. La prima sono le iniziali della persona contattata – che dovrebbero rendere più difficili campagne truffaldine basate su messaggi del tutto identici tra loro. La seconda è il link all'indirizzo https://www.dgc.gov.it/, ovvero il sito del governo che consente di ottenere il certificato anche a chi non dispone dell'app Io o dell'app Immuni, utilizzando i dati della propria tessera sanitaria. La terza è l'AUTHCODE, il codice che – inserito all'interno dell'app Immuni o sul sito del governo – consente di ottenere il certificato. I messaggi si presentano nella forma qui sotto.

L’SMS che avvisa della disponibilità del green pass
L’SMS che avvisa della disponibilità del green pass
Hai ricevuto il Green Pass su WhatsApp? Fai attenzione, è una truffa
Hai ricevuto il Green Pass su WhatsApp? Fai attenzione, è una truffa
Attenzione alla truffa WhatsApp che usa il green pass come esca: come riconoscerla
Attenzione alla truffa WhatsApp che usa il green pass come esca: come riconoscerla
Non hai ricevuto il codice Authcode per il Green Pass? Ecco il nuovo strumento per recuperarlo
Non hai ricevuto il codice Authcode per il Green Pass? Ecco il nuovo strumento per recuperarlo
Lascia un commento!
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni