L'INPS ha recentemente avvertito gli utenti di una nuova campagna di phishing che sfrutta il suo nome per indurre gli utenti a interagire con un sito Web fraudolento, identificato da un dominio che non ha alcun legame con l'Istituto Nazionale di Previdenza Sociale, per poi svuotare i conti bancari. L'allarme è stato dato dall'INPS sui suoi profili social, dove ha segnalato la circolazione di e-mail che rimandano a un sito con dominio “procedimento-it.cc”, chiaramente slegato dalle attività dell'istituto. Attenzione: per difendersi bisogna ignorare il messaggio, non aprendo alcun link contenuto all'interno della mail truffaldina.
La mail non proviene dall'INPS e rimanda a un sito fraudolento
L'avviso diffuso dall'INPS sui suoi canali social ufficiali segnala la circolazione di e-mail che, per quanto possano sembrare ufficiali, rappresentano in realtà un tentativo di phishing abbastanza “classico”. Il link contenuto nel messaggio, infatti, non rimanda all'indirizzo “inps.it” (quello ufficiale dell'Istituto), bensì indirizzano a un sito fraudolento con dominio “procedimento-it.cc”. A chiare lettere l'INPS informa gli utenti che non si tratta di una comunicazione legittima e che non bisogna rispondere al messaggio. Questo perché il phishing è una truffa informatica molto insidiosa, che punta a “pescare” le vittime inviando messaggi che imitano comunicazioni ufficiali.
Le e-mail false inviate dai criminali informatici sfruttando nome e logo dell'INPS e solitamente invitano ad aggiornare dati personali per mantenere aggiornato il profilo contributivo o a fornire informazioni bancarie per ricevere un rimborso. Il link incluso conduce a una pagina che riproduce graficamente il portale dell'Istituto, ma che in realtà serve solo a registrare tutto ciò che viene digitato dall'utente.
Questo tipo di segnalazione rientra in un'attività di monitoraggio più ampia, che l'Istituto porta avanti da tempo grazie anche alla collaborazione con il CERT-AGID, cioè il Computer Emergency Response Team dell'Agenzia per l'Italia Digitale, una struttura che si occupa di prevenire e gestire incidenti di sicurezza informatica nella Pubblica Amministrazione italiana. Il contesto in cui si inserisce l'allerta è quello di una società, la nostra, in cui l'identità digitale dei singoli (quindi dati personali, credenziali di accesso e documenti che rappresentano gli utenti online) è diventata un bene di grande valore economico, merce di scambio con cui i criminali informatici conducono i loro loschi affari nell'anonimato del Dark Web.
Come difendersi dai tentativi di phishing a tema INPS
Anche se l'INPS interviene prontamente segnalando e facendo bloccare i domini fraudolenti non appena vengono individuati, per difendersi dai tentativi di phishing a tema INPS è essenziale diventare internauti sempre più vigili e accorti. Innanzitutto, bisogna ricordare che l'INPS non chiede mai dati sensibili via e-mail (o in altri modi analoghi). In una comunicazione inviata qualche tempo fa a tutti gli utenti della piattaforma INPS, infatti, è bene ricordare che «le uniche e-mail con link che INPS invia sono quelle per le indagini sulla soddisfazione degli utenti, ma non vi chiederanno mai dati bancari o documenti».
E anche se una comunicazione vi sembra legittima, almeno all'apparenza, verificate sempre l'indirizzo del sito prima di cliccare sul link contenuto nel messaggio. Se il messaggio appare sospetto, vi consigliamo caldamente di non cliccare sul link e, di conseguenza, di non inserire alcun dato personale.
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
