Avete ricevuto un SMS da PosteInfo che porta ad un sito diverso da Poste.it? Attenzione!

Diffidare sempre quando un sito chiede la verifica dei vostri dati anagrafici

Il problema del furto di identità è una realtà quotidiana in tutto il mondo. Negli Stati Uniti il tema sta assumendo proporzioni molto ampie e qui in Europa, e di conseguenza nel nostro paese, si sta facendo strada questa pratica. Gli obiettivi? rubare l’identità di una persona, sostituirsi ad essa nella vita digitale, acquisirne un’anagrafica completa e formale e successivamente aprire linee di credito, conti correnti, carte bancarie sulle quali fare spese, richiedere prestiti e riciclare denaro proveniente da illeciti.

Uscire da una situazione come questa può essere molto complicato e indubbiamente il malcapitato può trovarsi a dover affrontare grane legali.

Il presunto tentativo di attacco avviene tramite SMS ed in particolare i presunti truffatori stanno utilizzando il medesimo ID mittente che Poste Italiane S.p.A. (assolutamente non colpevole) utilizza per autorizzare l’autenticazione di livello 2 di sicurezza nell’ambito del servizio SPID. Il messaggio arriva quindi etichettato come mittente PosteInfo.

Tecnicamente si tratta di una tecnica chiamata “smishing” ovvero una falsificazione di un indirizzo mittente (IP o SMS in questo caso).

Presumibilmente il gateway che i presunti truffatori stanno utilizzando non esegue alcun tipo di controllo sul nome del mittente (o esegue solo controlli poco seri) e quindi ha permesso l’invio massivo di un SMS con il seguente testo: “Gentile cliente, abbiamo bisogno della conferma dei suoi dati. Seguo la procedura al link (omettiamo il link)” proveniente dallo stesso ID usato da Poste Italiane S.p.A.

Il potenziale furto di identità dietro questo progetto

Un qualsiasi cliente poco informato riguardo i tentativi di truffe, potrebbe semplicemente cadere nella trappola perché nello storico delle comunicazioni vede solo ed esclusivamente SMS di fiducia. La schermata mostra infatti come le precedenti comunicazioni fossero degli OTP necessari per autorizzare un’autenticazione sullo SPID di Poste Italiane S.p.A. (che ribadiamo essere assolutamente estranea alla situazione).

Si può quindi essere portati a pensare che effettivamente sia richiesto un aggiornamento della propria anagrafica e quindi procedere con l’operazione richiesta che porterà indubbiamente ad un furto dei dati.

Cliccando sul link si giunge infatti ad un sito Internet che riporta il marchio di Poste Italiane e i colori, così come i fonts, sono quelli utilizzati dalla azienda italiana, tuttavia vi sono alcuni elementi che possono lasciare pensare ad un tentativo di truffa.

Il primo dubbio è rappresentato dal fatto che, in generale, aziende come Poste Italiane S.p.A. non inviano comunicazioni di questo tipo. Lo ricordano ad una pagina dedicata alle truffe online scrivendo esplicitamente “Se qualcuno, anche presentandosi come un operatore di Poste Italiane S.p.A. o PostePay S.p.A., ti dovesse chiedere tali informazioni, puoi essere sicuro che si tratta di un tentativo di frode, quindi non fornirle a nessuno”.

Il secondo dubbio riguarda la URL, eccessivamente generica per un’azienda di questo calibro. Se davvero Poste Italiane avesse avuto bisogno dei vostri dati avrebbe utilizzato il sito istituzionale e non un dominio .eu.

Il terzo problema riguarda il certificato SSL utilizzato per questo sito Internet. Si tratta di un certificato rilasciato da Actalis S.p.A. ed emesso in data 5 novembre 2021, ovvero solo cinque giorni fa.

Il quarto punto, quasi tombale, riguardo al fatto che la stessa Poste Italiane S.p.A. ricorda sempre che le comunicazioni istituzionali avvengono attraverso il sito Internet Poste.it.

Il SMS incriminato finisce in coda a SMS leciti

Il sito indica, incutendo paura nel malcapitato, la necessità di recuperare i dati anagrafici

Il certificato SSL è molto recente.

Look and feel uguale al sito Poste Italiane S.p.A.

Che cos’è lo SMISHING e come è possibile una cosa come questa?

Il termine SMISHING deriva dall’unione di due parole distinte ovvero “SMS” e “Phishing”, dove per SMS ci riferiamo alla nota tecnologia dei messaggi di testo molto utilizzata negli anni passati e per Phishing intendiamo la tecnica di adescamento molto praticata in rete da cybercriminali per attirare persone inconsapevoli in trappole informatiche.

La tecnica di phishing si utilizza solitamente nell’ambito della posta elettronica e da qui l’unione dei due termini ovvero SMISHING.

La tecnica prevede quindi l’invio di un messaggio di posta elettronica utilizzando come “mittente” un numero oppure un nominativo “fidato”. Vi sarà capitato, per esempio, di ricevere un SMS con un nome specifico al posto di un numero telefonico. Questo è possibile attraverso un’infrastruttura informatica, chiamata “gateway”. Ora, se dovessi ricevere un SMS con mittente “TNT” (la ditta di spedizioni), dopo aver ricevuto decine di SMS assolutamente validi, sarei tentato di fidarmi dell’ennesimo messaggio che magari mi chiede di verificare i miei dati anagrafici.

L’esta è appunto questa: il fatto che in passato si siano ricevuti sempre e solo messaggi di fiducia da quello specifico mittente.