28 Giugno 2023
Nelle ultime settimane sta circolando un SMS apparentemente inviato da Poste Italiane ma dietro il quale in realtà c'è qualcuno che con Poste non ha nulla a che fare. È l'ennesimo tentativo di truffa, di phishing per usare un termine più specifico, usato dai criminali per svuotare i conti corrente postali. Il messaggio fa leva sull'urgenza: "Gentile cliente è stata richiesta un spesa di euro xxx se non è lei seguire il link", si legge in uno.
Sono la cifra e, appunto, l'urgenza dell'invito all'azione per evitare un addebito disposto da chissà chi ad annebbiare la vista quel tanto che basta per far passare in secondo piano l'italiano imperfetto dell'SMS, il link che tenta di scimmiottare quello di un servizio sicuro e la pagina che si apre poi, del tutto simile a quella di Poste Italiane, che per bloccare l'addebito (inesistente) chiede le credenziali di accesso all'area privata. Ottenute quelle il lavoro degli hacker è a metà, poi chiameranno al cellulare per ottenere la OTP inviata da Poste per SMS, non per bloccare il bonifico ma per autorizzare quello che trasferisce il denaro dal nostro conto a quello dei criminali.
E a quel punto non c'è alcuna certezza di riavere il denaro indietro. "Sono casi frequenti e non c'è una chiara giurisprudenza sui rimborsi. A volte la banca lo fa, a volte dà il 50 per cento, a volte lo nega" ha spiegato Paolo Dal Checco, tra i più noti ingegneri informatici forensi, ai colleghi del Sole 24 Ore. “A volte nel dubbio rimborsano in un primo momento e poi si riprendono tutto. E i contenziosi giudiziari tra utente e banca durano molto tempo".
A complicare esponenzialmente la questione è il fatto che a consegnare le password è il cliente. In totale e assoluta buona fede, siamo d'accordo, ma è una circostanza diversa rispetto a quella in cui sono i criminali a intercettarle all'insaputa del cliente. Un po' come tentare di farsi risarcire la macchina dall'assicurazione rubata da qualcuno che ha trovato le chiavi appese alla portiera.
POSTE ITALIANE NON CHIEDE MAI CREDENZIALI, DATI O CODICI
Ma com'è possibile che l'SMS venga inserito dallo smartphone insieme ai precedenti, veri, inviati da Poste? I criminali hanno sfruttato e continuano a sfruttare delle imperfezioni normative sull'utilizzo dei cosiddetti alias o identificativo mittente, cioè la possibilità di far apparire un certo nome come mittente di un SMS anche se chi lo riceve non ha il numero in rubrica. Di recente l'AGCOM ha deliberato una stretta sugli alias per contenere il fenomeno (dilagante) del phishing, ma i tempi per la concretizzazione delle misure non sono brevissimi, al più tardi entro maggio 2024.
Per scampare ai tentativi di truffa come questo, ma come tanti altri, bisogna e bisognerà lottare alla vecchia maniera, mantenendo la calma, diffidando anche delle cose più ovvie e facendo quel controllino in più che, con un pizzico di fortuna, può servire a evitare il peggio. Comunque Poste Italiane ricorda che non vengono mai chiesti - con nessuna modalità e per nessuna finalità - le credenziali di accesso a sito e app, dati delle carte (PIN del bancomat incluso), i codici segreti per autorizzare le operazioni, né sarà mai chiesto di
disporre transazioni di qualsiasi natura paventando falsi problemi di sicurezza sul tuo conto o la tua carta tantomeno spingendoti a recarti in Ufficio Postale o in ATM per effettuarle.[...]Se qualcuno, spacciandosi per un operatore di Poste Italiane S.p.A. o PostePay S.p.A., dovesse chiederti quanto sopra riportato, puoi essere sicuro che si tratta di un tentativo di frode.
Commenti
Concordo con quanto hai scritto
Conosco gente che non ricorda nemmeno la password della propria mail con la quale lavora (a volte nemmeno l'E-Mail di cui hanno dimenticato la Password) perchè non ce l'hanno segnata da nessuna parte e quando gli si slogga il device di turno danno di matto! Qualche volta mi è anche capitato di gente che invece di recuperare la password ha creato direttamente un nuovo account di mail per poi naturalmente non segnarsi la Password di quella nuova.
Io la chiamo pigrizia digitale, a certa gente non dovrebbero nemmeno permettere di far acquistare uno Smartphone se non ne sfruttano tutte (o gran parte) delle sue potenzialità, dovrebbe essere come hai scritto tu, ci vorrebbe un "patentino" che in base alle conoscenze ti permette di poter utilizzare un certo tipo di device.
Credo che sia qualcosa che dipende dalla tecnologia utilizzata per gli SMS
Ma perché non sistemano questo grosso problema dei sms phishing che si uniscono ai sms originali di banche e poste? Guardate lo screen https://uploads.disquscdn.c...
Il "raggiro" non è una punizione sufficiente poichè, alla fine, implica uno scarico di responsabilità solo sui criminali in questione e solleva da personali responsabilità che, come me, hai anche tu individuato in una carenza di preparazione e "cultura" in materia.
Siccome è palese che l'utilizzo del digitale (nella sua più ampia accezione) sia determinante anche solo per l'uso di WA, iniziare a dare qualche "multa" o penalità ANCHE ai soggetti "passivi" non lo vedo poi così peregrino.
Mi è capitato di affiancare ragazzi appena usciti dalla maturità e me lo sono chiesto pure io. Non hanno canoscenza degli strumenti base. Email, calendario, drive. Addirittura non sono riusciti a capire che ciò che gli mostravo sullo schermo del pc lo hanno pari pari in tasca.
Su questo penso che la punizione sia già il raggiro. Non ne serve altra. Se ti svuotano il conto in banca perchè non conosci il mezzo la colpa è tua. Fino a che, con la tua incompetenza non rechi danno ad altri non deve esserci nessuna privazione di libertà. Seppur virtuale.
Con ciò ovviamente non sto dicendo che chi truffa debba passarla liscia
Muahahhahaha bellissima
Il mio concetto è che tutti possono COMPRARE un'auto, ma, per guidarla, devi sostenere un esame di abilitazione altrimenti l'auto resta in garage (e sorvoliamo sulla valenza degli esami odierni; non è questo alla base della mia metafora).
Se non sei in grado di usare "con giudizio" un "mezzo" (auto o web che sia), allora la "colpa" non è esclusivamente di chi prova a ingannarti, indipendentemente da quanto abili possano essere.
Oggi (e ancor più domani) la nostra "identità digitale" corrisponde ad una "cittadinanza digitale" che va conosciuta e utilizzata con competenza: ID digitale, conti bancari, cripto, etc... non è solo stare sui social e saper usare WhatsApp.
Onestamente non so cosa insegnino a scuola ai miei nipoti, ma queste cose dovrebbero essere parte integrante di un corso di studio di "educazione civica" che prepari le persone ad affrontare il "mondo digitale", così come l'esame ti abilita alla guida dell'auto.
Per i "pigri" (perchè solo di questo si tratta), basterebbe (forse) impostare un sistema di "blocchi" che costringano anche loro a "studiare": cadi una di queste "trappole" farlocche? 1 settimana senza accessi digitali (a studiare, si spera)... ci ricadi? 1 mese. E così via.
A furia di "multe/blocchi", vedrai che anche il più "pigro" si dà una svegliata, fosse solo perchè non può più nemmeno usare WA per tot giorni...
Questa estensione
https://chrome.google.com/webstore/detail/junkfill/cajejbcjfkhgmfbapmhopccephhjedebè piu rilassante ancora. Pensare che gli tieni impegnato il codice a fare tentantivi a vuoto lo è decisamente di piùGuarda, mi è capitato di ricevere un sms di questo tipo, ho aperto il link per curiosità e il sito di poste non era per nulla fatto male. Esclusi i campi di inserimento che accettavano qualsiasi carattere o non avevano alcun limite massimo, l'aspetto era esattamente quello del sito ufficiale.
Vorrà dire che mi farai fare un giro :D
Purtroppo sul duplicato c'è scritto che ho solo la B quindi niente Millennium Falcon :)
No è che ha suonato il postino che mi doveva lasciare il duplicato della patente.
Sono 2 settimane che me la doveva portare.
Ahhh le Poste Italiane :D
I tempi un pò di tutti.
Lo fanno anche con credem, e pure con fineco
Sarò ***onzo, ma ritengo che chi casca in queste "trappole" merita di non aver accesso al web e ai servizi digitali... sono talmente "fatte male" che anche il mio gatto si ribalta dalle risa ogni volta che ci provano.
anche io
adoro
Ai miei tempi queste truffe non esistevano.
Al limite c'era Wanna Marchi e sua figlia.
Nel tuo caso forse ci sarei cascato pure io.
Se non ci fosse stata la carta di credito di mezzo :)
Non è vero.
Avevo un problema con Paypal.
Li ho chiamati e mi hanno chiesto un sacco di dati.
Alchè mi sono insospettito e ho buttato giù.
Ma non l'hai sentita la Meloni?
"Lasciamo fare a chi vuol fare".
Questa sembra scritta da me LOL
Adriano. Adriano.
Solo a me non arrivano mai email di phishing ma solo sms di questo genere? Io ovviamente clicco sempre il link perchè non è quello il prolema, il punto è che la pagina che mi si apre mi chiede di inserire i codici di accesso della mia banca perchè pare sia stato bloccato il mio presunto l'account.
Io ovviamente nelle caselle selezionabili inserisco una miriade di insulti e offese del peggiore dei linguaggi scurrili al mondo, e poi clicco invio.
Mi rilassa farlo.
So che tu non sei un tipo che se la prende :D
Avresti dovuto capirlo da quelle pennellate viola che non poteva essere originale.
Lo so. Ma ero di fretta e ho scritto la prima cavolata che mi è venuta in mente :D
Sta attento perchè ad un mio collega l'hanno chiamato alle 22 del pomeriggio e non se ne era accorto della truffa.
Concordo
A me alle 22 di mattina, per quello ho capito fosse una truffa.
Hanno cercato di truffarmi con una chiamata alle 22 di sera.
Basterebbe impedire che si usino gli alias ma, come per il telemarketing selvaggio, pare che a chi ci governa/ha governato interessino più tutelare le aziende che i consumatori
Di giorno no, ma di notte sì.
Vabbè però che diamine, lo dicono da anni in tutte le lingue del mondo che nessuno chiede mai ufficialmente PIN e codici vari, come Ve lo devono far capire? Qui manca anche tanta ma tanta cultura informatica, soprattutto per le vecchie generazioni che erano abituate a fare tutto a mano.
Anche Outlook?
\s
Sembra di fare il giochino della Settimana Enigmistica, aguzzate la vista.
Ma anche il cervello.
Un consiglio, lasciate perdere le poste.
Al giorno non ci si può fidare più di nessuno.
E' incredibile.