Sta circolando in rete una nuova truffa SMS apparentemente proveniente da PosteID. Occhi ben aperti e non fatevi prendere dal panico
La strategia d’attacco dei cybercriminali sta via via assumendo forme sempre più raffinate e complesse, a conferma di quel salto di “qualità” compiuto nell’ultimo periodo dagli attacchi phishing. Sono lontani i tempi in cui i messaggi spam erano contornati da orrori grammaticali, segno di superficialità nonché elemento facilmente distinguibile per tracciare una linea di distinzione tra il raggiro e il veritiero. 
Una delle tecniche maggiormente utilizzate dai malintenzionati è quella della “personalizzazione” dei grandi brand, nel senso che l’hacker di turno invia un messaggio sullo smartphone o sul dispositivo della vittima presentandosi come un’azienda facilmente riconoscibile e comunicando l’esistenza di qualche problematica che impone un intervento dell’utente. L’imitazione dei brand e la pressione psicologica sono due degli elementi più importanti degli ultimi attacchi phishing e sono cristallizzati nella nuova truffa che sta circolando in queste ultime ore.
A differenza di molte campagne analoghe, l’elemento che potrebbe far confondere di più (e di conseguenza pericoloso per i malcapitati utenti) è che la comunicazione sembra legittima, non soltanto perché ben scritta e congegnata dall’hacker, ma anche e soprattutto perché l’intestazione del messaggio spedito tramite SMS reca il nome vero e credibile di un brand.
Come difendersi dalla nuova truffa PosteID
Lo scenario è molto semplice. Un utente riceve un messaggio sul proprio numero di cellulare proveniente da “PosteID”, l’account che genera codici SMS di conferma per l’accesso ai servizi della pubblica amministrazione tramite SPID. Questo messaggio informa l’utente che l’account e la carta di debito sono stati bloccati per non meglio precisati motivi e che pertanto si richiede un intervento manuale dell’utente attraverso l’inserimento di un codice di sblocco in un link. La stessa URL è stata acconciata in qualche modo per mascherare la truffa.
Sono attacchi phishing (o meglio smishing, nel caso di specie) che confermano la pericolosità dei nuovi attacchi informatici, soprattutto per la difficoltà a distinguere il vero dal falso. Ovviamente questa comunicazione non è in alcun modo legittima né tantomeno collegata a PosteID.
Cosa fare in casi come questi? Nonostante l’apparenza, bisogna cercare di non farsi prendere dal panico e restare il più possibile lucidi, evitando di cliccare su link strani ed inserire elementi sensibili legati alla propria persona. E ricordate: nessuna azienda chiede l’inserimento di informazioni personali via mail o SMS, e questo dovrebbe da solo aiutare l’utente a smarcarsi dalle truffe pericolose che stanno emergendo sul web.