Phishing contro clienti di Poste italiane: un falso SMS per rubare dati carta
Negli ultimi giorni si stanno moltiplicando a dismisura le segnalazioni a Poste italiane da parte di alcuni clienti, che ricevono SMS nei quali viene richiesto loro di aggiornare online alcuni dati riservati. Si tratta però dell’ennesimo tentativo di truffa, da parte di ignoti, tramite la tecnica del phishing, contro cui lo stesso istituto mette in guardia tutti gli utenti.
Non è la prima volta che i clienti di Poste italiane ricevono infatti falsi SMS del genere. Anche agli utenti di banche o altri istituti di credito, infatti, capita di ricevere un messaggio (che sia un SMS – e in questo caso più che di phishing si parla di smishing -, una mail o altro) con un link cliccabile, che indirizza però a una pagina web diversa da quella dell’istituto. Ed è qui, se si inseriscono i propri dati personali, che iniziano i guai.
Il falso SMS di Poste italiane chiede al cliente di aggiornare i dati “al nuovo sistema Psd2” per evitare il “blocco delle utenze postali”. Si tratta quindi di un messaggio molto vago, ancora più pericoloso proprio perché può mettere paura sia ai clienti che hanno un conto con Poste, sia ai semplici cittadini che utilizzano però servizi come le spedizioni di lettere e pacchi.
La vera pericolosità di questa tecnica sta nel fatto che il messaggio viene inviato in modo tale che il mittente sembri Poste italiane stessa. Se sono stati ricevuti dal cliente altri SMS dalla società, magari per la consegna di un pacco, il messaggio falso si troverà nella stessa conversazione.
Se si clicca sul link allegato al messaggio, si arriva in un sito molto simile a quello di Poste, che presenta addirittura i contatti e la partita Iva in fondo alla pagina. Nella schermata, viene chiesto all’utente di inserire il numero della propria carta e poi, addirittura, anche il codice di sicurezza Otp (One time password) che ha appena ricevuto sul suo smartphone.
Se il cliente ci casca, in pratica dà l’autorizzazione all’hacker in questione di fare transazioni online per suo conto. E la truffa si consuma. Contro questo rischio, dunque, Poste italiane sta cercando di fare una campagna di sensibilizzazione per i propri clienti. Anche perché nessun istituto (che siano le Poste o le banche) chiede mai ai propri clienti di fornire questi dati.
A differenza delle mail – che spesso classificano i tentativi di phishing come spam – i nostri smartphone non dispongono della tecnologia necessaria per riconoscere i tentativi di truffa tramite SMS. E per questo negli ultimi tempi lo smishing sta prendendo piede: per sfruttare la poca conoscenza di alcuni clienti e superare la prima barriera, quella dello spam.
Leggi l'articolo originale su TPI.it