Bonus 600 euro, falsi sms INPS che rubano i dati

I truffatori continuano ad approfittare di questo terribile momento Coronavirus per tendere le proprie trappole.

Questa volta parliamo di un massivo invio di sms per false informazioni sul bonus da 600 euro che riporta ad un sito dell’INPS contraffatto.

‘L’Inps informa i propri utenti che si sono nuovamente verificati sospetti tentativi fraudolenti di richiesta di dati sensibili, il cosiddetto phishing. In particolare in atto una campagna di malware attraverso l’invio di sms che invitano a cliccare su un link per aggiornare la propria domanda Covid-19 e inducono a installare una app malevola. Questi sms non sono inviati dall’Inps. Eventuali sms che l’Istituto dovesse inviare non conterranno link a siti web, l’unico accesso ai servizi Inps è tramite il sito istituzionale”.

I criminali informatici inviano un SMS relativo al bonus da 600 euro che recita: “A seguito della sua richiesta accredito domanda COVID-19. Aggiorna i tuoi dati nel inps-ixxxxx.online”.

Ricordiamo che che l’Inps non manda sms di quel genere e che l’unico modo per accedere ai servizi forniti dall’Istituto, e quindi anche alla domande o alla gestione dei bonus, avviene online attraverso il sito ufficiale dell’Inps, e dietro autenticazione.

Cliccando sul link inviato, e che simula il sito originale INPS, viene scaricato un malware (APK) che, installato sul cellulare, permette ai criminali di accedere al dispositivo ottenendone il controllo.

Si tratta del cosiddetto fenomeno di smishing, termine che deriva dall'unione delle parole sms e phishing, dove l'ultimo termine indica appunto la "pesca" dei dati.

Stiamo attenti:

  • in questo tipo di truffe spesso la veste grafica del sito trappola è assolutamente identica a quella del sito originale e per questo si può cadere facilmente in errore;
  • la presenza di una pagina criptata, ovvero la dicitura “https” accanto al simbolo di un lucchetto nella URL rende un sito attendibile;
  • nessun Ente istituzionale invita gli utenti attraverso mail, SMS, telefono, o messaggi sui Social, a fornire password, dati delle carte, codici OTP, PIN, credenziali, chiavi di accesso all'home banking o altri codici personali;
  • si accede al sito digitando direttamente l’indirizzo dalla barra degli strumenti, evitando di cliccare sui link che vengono ricevuti con qualunque mezzo.

Si raccomanda quindi:

  • non collegarsi mai al sito indicato nel testo del messaggio;
  • in caso ci si sia collegati per errore, non fornire alcun tipo di credenziali e/o dati personali e non autenticarsi;
  • non scaricare eventuali documenti o allegati;
  • diffidare sempre di richieste di cui non sia certa la provenienza;
  • conservare sempre con la massima cura il nome utente, la password e il codice dispositivo e non renderli noti a terzi.

Prudenza nella navigazione, usiamo queste metodologie per capire se siamo vittime di un tentativo di frode:

  • confrontiamo l'indirizzo internet proposto con quello autentico dal quale accediamo usualmente e possibilmente digitiamo direttamente quello ufficiale nella barra degli indirizzi;
  • se la pagina risulta una connessione protetta (https), cliccando sul lucchetto presente nella URL possiamo verificare gli estremi del certificato digitale. Se lo stesso è stato rilasciato da poco, magari per una durata limitata ed è assegnato a soggetto diverso dall'Ente interessato;

Articoli collegati: