Un finto avviso spacciato come proveniente da Autostrade per l'Italia per un presunto «pedaggio non saldato» sta tornando prepotentemente “alla carica”. Il testo del messaggio è il seguente: «Autostrade per l'Italia: risulta un pedaggio non saldato. Importo €6,50. Paga in modo sicuro entro il […] », a cui segue la data e il link che però, cliccato, raccoglie informazioni sensibili della vittima di questa truffa. Il meccanismo di questa nuova truffa è semplice solo in apparenza: un messaggio invita a cliccare su un link per evitare sanzioni, ma dietro questa richiesta si nasconde un'infrastruttura tecnica complessa, progettata per imitare il sito ufficiale di Autostrade per l'Italia. Riuscire a capire come funziona la truffa del finto SMS di Autostrade per l'Italia è il punto da cui partire per riuscire a difendersi da una frode online che, potenzialmente, potrebbe mietere numerose vittime.
Come funziona la truffa sui pedaggi autostradali per l’Italia: allarme SMS
Per poter riconoscere la truffa bisogna avere ben chiaro un fatto: Autostrade per l’Italia non richiede mai pagamenti con urgenza via SMS o tramite e-mail. Il mancato pagamento del pedaggio può essere regolarizzato entro 15 giorni senza costi aggiuntivi, e gli eventuali solleciti autentici riportano sempre una data di scadenza chiara. Se un messaggio fa leva sulla pressione psicologica, sicuramente non è proveniente da Autostrade per l'Italia. Un altro segnale che dovrebbe mettervi in allerta riguarda la richiesta di dati personali: password, numeri di carta, coordinate bancarie, etc., non vengono mai chiesti tramite SMS, e-mail o WhatsApp da aziende serie, e Autostrade per l'Italia non fa eccezione.
Dal punto di vista tecnico, un indicatore chiave è rappresentato dall'URL, cioè l'indirizzo della pagina Web inclusa nella comunicazione ricevuta via SMS. Se l'URL inizia per “http://” e non per “https://” (quindi non include la “s”), siete certamente di fronte a un indirizzo pericoloso. Anche se dovesse essere presente il protocollo “https://”, comunque, dovreste fare ugualmente attenzione: in alcuni casi i truffatori potrebbero comunque riuscire a usare quest'ultimo per rendere più convincente le proprie comunicazioni (come si evince dallo screenshot seguente).
Per fugare ogni dubbio, controllate anche il nome del dominio. Nelle campagne più recenti è stato usato il typosquatting, una tecnica che consiste nel registrare domini molto simili a quelli reali, con piccole variazioni di lettere (per esempio “autostiade.com” e “autostedu.com” al posto di “autostrade.it”).
A ribadire l'importanza di prestare attenzione c'è anche CERT-AGID, il Computer Emergency Response Team della Pubblica Amministrazione italiana, secondo cui la campagna in questione utilizza prevalentemente lo smishing, cioè il phishing via SMS. Il link malevolo incluso nel finto SMS attribuito ad Autostrade conduce a un sito che copia graficamente quello autentico e chiede dati come targa, numero di telefono e carta di pagamento. La parte più evoluta è che il comportamento del sito cambia in base al dispositivo: da computer può reindirizzare verso il sito reale, mentre da smartphone mostra la pagina truffaldina. Questo serve a ingannare sia l'utente sia alcuni scanner di sicurezza automatici.
A rendere grave il tentativo di truffa è anche il cosiddetto phishing-as-a-service: pacchetti “pronti all’uso” venduti nel Dark Web, che permettono anche a criminali non esperti di lanciare truffe complesse. Questi kit possono intercettare non solo i dati della carta, ma anche OTP (One Time Password), ovvero i codici temporanei usati da banche e istituti di pagamento, e i codici 3D Secure, cioè i protocolli di sicurezza mediante cui autenticare le transazioni e renderle più sicure. Il server malevolo riconosce il circuito della carta (VISA, Mastercard, American Express, etc.) e mostra una falsa pagina della banca corrispondente, imitando le interfacce di istituti italiani.
Come difendersi dalla truffa dei finti SMS di Autostrade
Alla luce di quanto detto, dunque, l'unica arma che abbiamo a disposizione per difenderci dalla truffa dei finti SMS di Autostrade è quella di imparare a distinguere le comunicazioni vere da quelle false. Una volta capito l'origine truffaldina di una comunicazione, poi, bisogna compiere queste tre importanti azioni.
- Non cliccare su alcun link.
- Non fornire alcun dato personale.
- Segnalare l'accaduto ad Autostrade per l'Italia (usando la mail info@autostrade.it) e al CERT-AGID (tramite l'indirizzo malware@cert-agid.gov.it).
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
