Non è passato neanche un mese dall'ultima truffa che ha visto Poste Italiane come protagonista involontaria, eppure una nuova minaccia sta prendendo di mira ancora una volta gli utenti dei suoi servizi. La società si trova ormai spesso coinvolta suo malgrato in truffe telefoniche o telematiche che sfruttano il suo nome, e quella segnalata in queste ore non fa eccezione: si tratta di un SMS ingannatore spedito da sconosciuti, che però riesce ad arrivare sul telefono delle potenziali vittime con un mittente contraffatto, come se fosse stato effettivamente inviato da Poste Italiane. L'obbiettivo della truffa è quello di ottenere accesso ai conti degli utenti che cadono nel tranello.

Come funziona la truffa

Nel contenuto dell'SMS viene chiesto ai destinatari di aggiornare i propri dati al nuovo sistema Psd 2 per evitare il blocco delle utenze postali. Segue in allegato un collegamento Internet che, se seguito, apre il browser e lo porta a una pagina web che somiglia in tutto e per tutto a quella di Poste Italiane. Ovviamente la pagina non ha niente a che vedere con Poste Italiane, ma è soltanto una facciata allestita dai truffatori per richiedere i dati di accesso delle vittime ai servizi della società: una volta inserite nelle apposite caselle, le credenziali finiscono in mani altrui che possono così prendere possesso dell'intero account.

Un altro tentativo di smishing

La truffa telefonico-telematica di poche settimane fa si basava su un canovaccio simile, ma soprattutto sul medesimo metodo di diffusione: gli SMS. I vecchi messaggi da 160 caratteri in effetti possono arrivare su tutti i tipi di telefono (a differenza di quelli inviati via WhatsApp) e soprattutto permettono di falsificare il mittente con metodi piuttosto semplici. Per i truffatori si tratta di due vantaggi non indifferenti, che consentono di diffondere maggiormente e di rendere più credibili i tentativi di raggiro; ecco perché la nuova tipologia di raggiro è già stata battezzata con un termine a se stante, ovvero smishing — dall'unione tra SMS e phishing.

Cos'è il sistema PSD 2

Un altro elemento comune alle truffe precedenti è l'utilizzo di un elemento ancorato alla realtà, che in questo caso è la nuova direttiva europea sui pagamenti digitali denominata PSD 2. Citando l'acronimo i truffatori sperano di richiamare l'attenzione di potenziali vittime, che potrebbero ricordarsi di averlo già sentito nominare, e credere così che la comunicazione sia autentica solo perché fa riferimento a un fatto reale; la minaccia del blocco delle utenze (e quindi di potenziali conti e carte) contribuisce infine ad annebbiare la capacità di giudizio di utenti che giustamente non vogliono rimanere senza disponibilità economiche per un disguido.

I consigli di Poste Italiane

La società ha già riferito di aver ricevuto diverse segnalazioni sull'SMS truffa in questione, e anche per via degli episodi precedenti che l'hanno vista protagonista ha allestito una pagina di consigli per difendersi da questi attacchi. Al suo interno si trova un monito utile: "Poste Italiane e PostePay non chiedono mai, telefonicamente e attraverso mail, tramite SMS o messaggi sui Social, di fornire password, dati delle carte, codici OTP, PIN, credenziali, chiavi di accesso all'home banking o altri codici personali".

Il principio in realtà vale per tutte le aziende che potrebbero trovarsi nella stessa situazione. In linea di massima nessun soggetto chiede mai questi dati ai suoi clienti o utenti, proprio perché una pratica simile aprirebbe le porte a truffe di questo tipo. A meno di non essere stati i primi a richiedere una procedura di cambio password, queste comunicazioni vanno dunque sempre ignorate, o per lo meno fatte passare da un controllo con il servizio clienti del gruppo in questione. Quello di Poste Italiane dedicato alle truffe è raggiungibile all'indirizzo email CERT@posteitaliane.it.