SPID "inattivo": la mail di Poste Italiane che sembra vera, ma ti svuota la Postepay
La nuova truffa di phishing, nota come SPID inattivo, si sta diffondendo online: i truffatori vogliono rubare i dati dei clienti Poste
Poste Italiane è uno dei principali gestori del servizio SPID. Di conseguenza, i clienti Poste devono fare i conti con una lunga serie di tentativi di truffe di phishing legate proprio al sistema di identità digitale, per cui anche Poste ha introdotto un canone annuale.
A lanciare l’allarme è Kaspersky, azienda di riferimento del settore della sicurezza informatica, che ha rilevato una vera e propria impennata di attacchi informatici, con una campagna di phishing che mira a impossessarsi delle credenziali degli account dei clienti Poste.
L’obiettivo è chiaro: una volta sottratti i dati, sfruttando una truffa creata ad arte per raggirare gli utenti, i truffatori proveranno a svuotare il conto corrente e il saldo delle carte prepagate Postepay, tra le più diffuse in Italia.
Come funziona la truffa
La campagna di phishing legata allo SPID di Poste Italiane assume diverse caratteristiche, in base al contesto di utilizzo. In linea di massima, il meccanismo è sempre lo stesso e la forma più diffusa è rappresentata dalla richiesta di sbloccare l’account SPID diventato inattivo, ad esempio dopo il passaggio al sistema a pagamento.
L’utente riceve una mail che simula una comunicazione da parte di Poste Italiane. Nel testo è presente un invito a riattivare l’account SPID, fornendo i dati d’accesso per poter riprendere a utilizzare l’identità digitale.
Un altro sistema, ancora più ingegnoso per certi versi, è quello del “Nuovo Telegramma“, ovvero una comunicazione via mail che simula la notifica di ricezione di un telegramma, con persino la presenza di un codice identificativo (completamente inesistente).
Anche in questo caso, il meccanismo è lo stesso. L’utente viene indirizzato verso un sito web in cui inserire i propri dati. Per questa truffa è presente l’invito all’attivazione del Sistema Web Postepay (servizio inesistente) tramite l’inserimento dei dati della carta Postepay.
In un modo o nell’altro, le truffe di phishing che sfruttano il marchio Poste e il tema dello SPID, quanto mai attuale con il passaggio al modello a pagamento, cercano di ingannare l’utente e di convincerlo a fornire i propri dati di accesso.
Come difendersi
Le truffe di phishing, anche quelle più sofisticate, possono essere evitate. La migliore difesa, infatti, è rappresentata dalla scelta di non agire subito, diffidando dalle comunicazioni che vengono ricevute via e-mail e in cui viene chiesto l’inserimento dei propri dati.
In caso di comunicazioni di questo tipo, è sempre utile contattare il Servizio Clienti dell’istituto a cui si fa riferimento nel testo della mail (in questo caso Poste Italiane, ma lo schema può essere facilmente adattato ad altre aziende).
In linea di massima, è necessario non cliccare mai sui link presenti in mail sospette e accedere ai servizi in modo “manuale”, quindi digitando l’indirizzo web da visitare direttamente nella barra del browser (per Poste Italiane, ad esempio, è possibile andare su poste.it).
Considerando la crescente diffusione delle truffe legate allo SPID e ai vari servizi di Poste Italiane, vi segnaliamo la disponibilità di una sezione dedicata alla sicurezza online, con indicazioni specifiche su come difendersi dalle truffe, sul sito di Poste.
