;Resize,width=767;)
L'Agenzia delle Entrate ha segnalato una nuova campagna di phishing che, utilizzando in modo improprio logo e nome della stessa AdE, tenta di indurre gli utenti a consegnare le proprie credenziali SPID, l'identità digitale che consente l’accesso ai servizi online della Pubblica Amministrazione. L'attacco parte con una comunicazione apparentemente legittima che invita ad accedere all'area riservata dell'Agenzia delle Entrate: il messaggio contiene un collegamento ipertestuale che, anziché portare sul sito istituzionale dell'ente governativo fiscale italiano, reindirizza verso una pagina costruita ad hoc dai truffatori per sottrarre le informazioni che servono loro per mettere a segno l'attacco. Vediamo più da vicino come funziona il phishing delle credenziali SPID e come difendersi.
Come funziona il phishing mascherato da comunicazione dell'Agenzia delle Entrate
Entrando nel dettaglio del meccanismo della truffa e vediamo come funziona il phishing mascherato da comunicazione dell'Agenzia delle Entrate. Le e-mail diffuse in questa campagna sono progettate per apparire credibili sia nella grafica sia nel linguaggio, richiamando comunicazioni ufficiali dell'Agenzia delle Entrate. Il link presente nel testo conduce a un sito fraudolento, ossia un sito Web creato appositamente dai truffatori, che replica l'aspetto dell'area riservata dell'ente. Qui viene mostrata una schermata di accesso contraffatta che simula il login tramite SPID.
Il modulo richiede l'inserimento della sola password dell'identità digitale, in quanto l'indirizzo e-mail dell'utente risulta già compilato automaticamente. L'inclusione preventiva di questo dato, è un elemento che aumenta la credibilità del messaggio e può ridurre il livello di attenzione di chi lo riceve. «Se queste informazioni sono già compilate», potrebbe infatti pensare il destinatario del messaggio, «evidentemente è perché il messaggio proviene davvero dall'Agenzia delle Entrate, che conosce i dati di ciascun contribuente». A quel punto, se l'utente in questione compila il modulo online consegna nelle mani dei criminali informatici i preziosi dati che questi cercavano.
Come difendersi dal tentativo di phishing fatto per rubare lo SPID
L'Agenzia delle Entrate ha ribadito la propria totale estraneità a queste comunicazioni, come avviene sistematicamente in casi simili. Per difendersi dal tentativo di phishing bisogna sempre ricordare che l'ente non invia email con link diretti per l’inserimento di credenziali, ragion per cui bisogna diffidare di messaggi che sollecitano azioni urgenti. Cosa dovreste fare all'eventuale ricezione di una comunicazione che vuole farvi credere di provenire dall'Agenzia delle Entrate, ma che in realtà ha una provenienza sinistra? Questo il consiglio dell'ente:
Raccomandiamo come sempre di prestare la massima attenzione qualora si ricevessero e-mail di questo tipo, evitando di cliccare sui link riportati e di fornire informazioni personali e vi invitiamo a procedere immediatamente alla loro eliminazione.
E se non riuscite a capire se il messaggio ricevuto è autentico o meno? In questo caso, è meglio mettersi in contatto diretto con l'Agenzia delle Entrate andando di persona nell'Ufficio territoriale di competenza (potete trovarlo consultando questa pagina) o, ancora, sfruttando i recapiti presenti nella pagina dei contatti dell'ente stesso.
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
