Poste Italiane, attenzione alla truffa del finto SMS: può prosciugare il conto

Quelli offerti dalle Poste Italiane sono servizi che purtroppo finiscono spesso come protagonisti involontari di truffe telefoniche o campagne di phishing, e in questi giorni sta tornando a colpire un raggiro già circolato ampiamente nel corso degli scorsi mesi, che attraverso un messaggio SMS tenta di estorcere alle vittime i dati di accesso ai loro account per prosciugare eventuali conti aperti sul sito. Secondo diverse segnalazioni online, alcune persone stanno ricevendo messaggi sospetti sul cellulare, che come mittente hanno PosteInfo ma che con il servizio informativo delle Poste non hanno niente a che vedere.

Si tratta di un attacco smishing, o meglio di un tentativo di phishing condotto attraverso l'uso degli SMS. Il messaggio incriminato infatti recita: "Abbiamo sospeso le sue utenze postali per mancata sicurezza web. La attivi al link seguente"; seguono il link da toccare con il dito, e poi i "Distinti Saluti" di "Poste Italiane". Il problema è che il collegamento non porta affatto a una pagina di Poste Italiane, ma a un dominio diverso; le caselle dove viene richiesto di inserire le proprie credenziali di accesso all'area utenti recapitano infatti i dati ai criminali, che possono così utilizzarli per i propri scopi.

In questa truffa sono palesi tutti gli elementi del classico phishing: viene impersonato un soggetto del quale ci si fida, che invia una comunicazione nella quale è contenuta una minaccia — ovvero l'impossibilità di utilizzare i servizi dell'ente — e si invita a fornire dati personali. A rendere più insidioso il tranello ci sono due aspetti. Il primo è che, a differenza di un mittente email con un indirizzo facile da smascherare, la comunicazione arriva via SMS: con questo mezzo è possibile utilizzare nomi falsi con più facilità, come sta avvenendo con il finto PosteInfo. Il secondo aspetto sono le fattezze della pagina, progettate per imitare il look del sito web legittimo in modo decisamente verosimile.

La barra degli indirizzi del browser però non mente: il sito web sul quale si va a finire dopo aver seguito il link contenuto nell'SMS è diverso da quello delle Poste e fa crollare l'inganno come un castello di carte. Per essere sicuri di non rimanere vittime di questa truffa è sufficiente tenere d'occhio questo elemento, ma il linguaggio utilizzato nell'SMS ("mancata sicurezza web" non vuol dire molto) può essere un ulteriore campanello d'allarme. Infine occorre tenere a mente che aziende e pubbliche amministrazioni non sollecitano mai l'inserimento di credenziali di accesso ai propri servizi in questo modo: dopo tentativi simili il consiglio per mettersi il cuore in pace è quello di cercare autonomamente i recapiti del mittente su un motore di ricerca e telefonare al servizio clienti per delucidazioni.