C.O.S.C. Umbria avvisa su phishing e smishing con mail e SMS che rubano dati personali, conti bancari e credenziali.
Perugia – Il Centro Operativo Sicurezza Cibernetica (C.O.S.C.) Umbria della polizia di Stato avvisa la cittadinanza su diverse campagne di attacco informatico, tracciate in Italia nelle ultime settimane, che sfruttano nomi e loghi di note Istituzioni e aziende per sottrarre dati personali, finanziari e credenziali d’accesso, ultima in ordine di tempo NOIPA. È fondamentale mantenere alta la guardia e conoscere le principali tattiche usate dai criminali informatici.
I malintenzionati sfruttano la fiducia riposta negli enti pubblici o nei marchi noti per rendere le loro comunicazioni credibili. Ecco un riepilogo delle truffe più diffuse individuate nell’ambito della nostra attività istituzionale:
- Agenzia delle Entrate e Criptovalute (Phishing)
Nome sfruttato: Agenzia delle Entrate.
Esca: richiesta di compilare una falsa “dichiarazione fiscale criptovalute” per presunte scadenze, usando layout e riferimenti (FAQ, GDPR) per apparire legittimo.
Obiettivo: raccogliere dati personali (nome, cognome, codice fiscale, e-mail, telefono), screenshot del wallet crypto e, nella fase finale, indurre a “importare il portafoglio” per sottrarne le credenziali. - Banca d’Italia: aggiornamento normativa antiriciclaggio (phishing)
Nome sfruttato: Banca d’Italia.
Esca: portale fraudolento che simula una piattaforma per aggiornare informazioni personali secondo nuove disposizioni antiriciclaggio.
Obiettivo: ottenere dati personali e credenziali bancarie e codici OTP. - Ministero delle Infrastrutture e dei Trasporti (MIT) – rinnovo patente (phishing)
Nome sfruttato: MIT.
Esca: e-mail con link a pagina fraudolenta sul rinnovo della patente.
Obiettivo: richiesta di informazioni personali, dettagli della patente, nome, data di nascita, nazionalità, indirizzo, numero di telefono, e-mail e documento d’identità. - Autostrade per l’Italia (Aspi) – pedaggio non saldo (smishing)
Nome sfruttato: Aspi.
Esca: SMS su presunto pedaggio di 6,50 euro da pagare tramite link.
Obiettivo: inserire dati personali (targa, numero cellulare) e dettagli della carta di pagamento. - Fascicolo Sanitario Elettronico (FSE) – rimborso (phishing)
Nome sfruttato: FSE, Ministero dell’Economia e della Salute.
Esca: e-mail che informa di un rimborso con link malevolo.
Obiettivo: fornire generalità e dati carta di pagamento. - PagoPA – multe e open redirect (phishing)
Nome sfruttato: PagoPA.
Esca: link malevolo da dominio legittimo (es. bio[.]site) su presunte infrazioni.
Obiettivo: inserire dati personali e credenziali. - Facebook via Messenger (phishing)
Nome sfruttato: Facebook/Meta.
Esca: messaggio su Messenger che avvisa di presunte attività sospette, con link a falsa pagina di login.
Obiettivo: sottrarre codici di accesso e numero di cellulare. - TIM – scadenza punti fedeltà (smishing)
Nome sfruttato: TIM.
Esca: SMS su scadenza dei punti fedeltà TIM Point Service.
Obiettivo: inserire dati personali e estremi della carta di credito. - INPS – erogazione di denaro (smishing)
Nome sfruttato: INPS.
Esca: SMS fraudolento per confermare identità e ricevere denaro.
Obiettivo: sottrarre generalità, IBAN, documenti, tessera sanitaria, patente, ultime tre buste paga e selfie con documento. - NoiPA – richiesta integrazione dati (Phishing)
Nome sfruttato: NoiPA.
Esca: mail con link malevolo per sottrarre chiavi di accesso, presentato come aggiornamento anagrafica.
Obiettivo: sottrarre dati sensibili e credenziali bancarie.
Misure preventive consigliate dal C.O.S.C. Umbria:
- Verificate sempre il mittente;
- Non cliccate su link sospetti;
- Nessun ente chiede credenziali via mail, SMS o Messenger;
- Usate canali ufficiali per conferme;
- Non fornire mai dati sensibili a siti terzi.
In caso di truffa, contattare immediatamente il Centro Operativo Sicurezza Cibernetica Umbria per denunciare e ricevere assistenza.