Il CERT-AGID ha identificato una campagna di smishing attiva su due differenti domini che utilizza il nome e il logo dell’INPS per ingannare le vittime e ottenere dati personali e finanziari. Questo fenomeno, che persiste da circa due anni in Italia, continua a diffondersi attraverso SMS fraudolenti che simulano comunicazioni ufficiali.

Gli SMS invitano gli utenti a seguire un link per aggiornare le proprie informazioni, pena la sospensione dell’utenza. Esempio di messaggio fraudolento:

“Il tuo profilo INPS va aggiornato perché scaduto, rinnova i dati per evitare la sospensione da INPS.”

Cliccando sul link, gli utenti vengono reindirizzati a un sito web falso, quasi identico al portale ufficiale dell’INPS. Qui vengono richiesti i seguenti documenti personali:

  • carta d’identità (fronte e retro);
  • tessera sanitaria (fronte e retro);
  • patente di guida (fronte e retro);
  • selfie con carta d’identità e patente di guida.

Al termine della procedura, le vittime ricevono un messaggio ingannevole che segnala un errore di identificazione, spingendole a reinserire nuovamente la carta d’identità e dei selfie.

I dati raccolti vengono sfruttati per mettere in atto diverse attività fraudolente. Uno degli obiettivi principali è la registrazione di un’identità SPID intestata alla vittima, un’operazione che , però, può andare a buon fine solo se non vengono effettuate correttamente le dovute verifiche. Una volta ottenuto il controllo di una nuova identità SPID, i truffatori possono accedere ai servizi pubblici e compiere operazioni come modificare l’IBAN associato ai servizi di pagamento, dirottando così l’accreditamento dello stipendio o delle pensioni su conti correnti a loro disposizione. Inoltre, i documenti rubati possono essere venduti nel dark web, sfruttati per creare identità false o per eseguire ulteriori frodi.

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

  1. Verificare attentamente l’origine dei messaggi, diffidando di comunicazioni che richiedono l’inserimento di dati personali tramite link.
  2. Controllare di trovarsi sul sito ufficiale dell’ente, verificando attentamente l’indirizzo URL nel browser e assicurandosi che il dominio visualizzato nella barra degli indirizzi coincida con quello ufficiale dell’organizzazione.
  3. Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it

In merito a questo fenomeno, l’INPS ha già pubblicato avvisi per sensibilizzare i cittadini sul tema, ribadendo l’importanza di essere vigili e di non condividere mai dati personali attraverso canali non ufficiali.

https://cert-agid.gov.it/news/smishing-a-danno-di-inps-caccia-ai-documenti-personali-da-sfruttare-per-il-furto-di-identita/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: