SMS truffa delle Poste Italiane, come funziona?

Il phishing non passa mai di moda e il finto messaggio da parte di Poste Italiane è oramai un classico.

Perché proprio le Poste Italiane?

La risposta è semplice, sono moltissimi gli utenti che ogni giorno sfruttano almeno uno dei servizi che l’azienda offre.
Questo amplifica la possibilità che il messaggio di phishing effettivamente metta in allarme qualcuno e lo spinga a cadere nella trappola del criminale.
Inoltre, si rivolgono alle Poste anche molte persone non avvezze all’uso delle nuove tecnologie, purtroppo questo le rende facili prede per gli hacker che insistono nel tentativo di derubarli.

Ma in che cosa consiste la truffa basata sugli SMS delle Poste?
Come si può riconoscere un messaggio di questo tipo?

E soprattutto, come si può evitare di finirne vittima?
Ecco tutte le spiegazioni necessarie.

1. Come funziona la truffa delle Poste Italiane

2. Esempio phishing Poste Italiane

3. Analisi del messaggio di phishing Poste Italiane

4. Attenzione ai dettagli

5. Hai ricevuto il messaggio finto di Poste Italiane, che fare?

6. Hai cliccato sul link allegato all’email di Poste Italiane, e ora?

7. Come posso tenermi al sicuro dalle truffe delle Poste Italiane?

Normalmente, la truffa phishing Poste Italiane inizia con un SMS.

Lo trovate sul vostro telefono e incuriositi lo leggete. Proviene da Poste Italiane e vi avvisa di qualche problema inerente un conto corrente, un libretto di risparmio, una polizza o un qualsiasi altro servizio offerto dall’azienda.

L’SMS vi invita a fare clic su un link che vi reindirizza ad una sito web nel quale ci sono ulteriori chiarimenti e che sembra assolutamente attendibile.
Li siete invitati a fare l’accesso al servizio inserendo il nome utente e la password. Così facendo state avete fornito le vostre credenziali di accesso ad uno sconosciuto che verosimilmente le userà quanto prima per violare il vostro account ed entrare in possesso di tutti i vostri dati sensibili.

Iniziamo con qualche esempio chiarificatore.
Potreste ricevere sul vostro telefonino un messaggio come questo:

“Qualcuno ha tentato l’accesso al tuo conto Poste Italiane, se non riconosci l´operazione clicca qui. Cordiali saluti. ”

Oppure

“Gentile Utente, Poste Italiane estinguerà il tuo libretto di risparmio entro il 21 Giugno 2022. Per evitare il blocco del tuo libretto di risparmio collegati alla tua area riservata tramite il seguente link. Cordiali saluti”

O anche

“I dati anagrafici presentati per l’account del tuo conto BancoPosta presentano degli errori.
Di conseguenza non è possibile utilizzare il servizio come di consueto. Accedi cliccando qui per correggere i dati inseriti e ripristinare il conto.”

Ciascuno di questi messaggi è un tentativo di phishing ovvero il tentativo di un malintenzionato di impossessarsi delle vostre credenziali di accesso al conto corrente BancoPosta e svuotarlo.

Analizziamo il contenuto dei messaggi phishing delle Poste Italiane e cerchiamo di capire che cosa hanno in comune.
Innanzitutto, il criminale informatico vuole trarvi in inganno per fare questo usa tre tecniche.

• L’SMS usa un linguaggio simile a quello dei messaggi reali di Poste Italiane, in questo modo per l’utente disattento è più facile fare confusione.

• Ognuno di questi messaggi é relativo ad un problema, ciascuno trasmette un senso di urgenza e cerca di mettere pressione affinché l’utente agisca immediatamente. Questo perché una persona quando è agitata e cerca di fare qualche cosa di fretta è meno attenta ai dettagli e quindi è più facile da raggirare.

• Tutti i messaggi sono brevi ma immediati e contengono l’invito a fare click su un link. E’ attraverso quest’ultimo che il malintenzionato può attuare il suo piano.

Sicuramente vi starete chiedendo come è possibile accorgersi che il messaggio di Poste Italiane che avete ricevuto non è autentico, bensì contraffatto.

Ebbene, bisogna prestare attenzione ai dettagli e soprattutto, non farsi prendere dalla smania di risolvere questo ipotetico problema nel minor tempo possibile.

Tanto per iniziare, forse avrete notato che quando è Poste Italiane a scrivervi non appare un numero di telefono ma, al suo posto, semplicemente la scritta PosteInfo o una dicitura simile.
Di conseguenza, se il messaggio appare con un normale numero di telefono è il caso di mettersi in guardia.
Inoltre tutti gli SMS fraudolenti contengono un link.

I messaggi ufficiali di Poste Italiane della società non richiedono mai di comunicare:

• Le credenziali di accesso (nome utenti, password e PosteId)

• I dati delle tue carte

• Codici segreti o OTP

• Ne ti chiederà di disporre transazioni per problemi di sicurezza

Fate attenzione ai riferimenti.
Nei finti messaggi di Poste Italiane, il contenuto è sempre molto vago.
Per di più un hacker quando lancia una campagna di phishing non ha sempre tutte le informazioni ma preferisce inviare lo stesso, generico messaggio ad un gran numero di persone sperando che qualcuno cada nel tranello.

Se il messaggio si riferisce ad un conto, ma tu hai solo un libretto di risparmio o una carta, sicuramente non è autentico.

Un’ulteriore controllo potete farlo chiedendovi: ho già ricevuto in passato messaggi di questo tipo da questo servizio?
Conosco qualcuno che abbia ricevuto messaggi simili che provenissero dalla fonte autentica?

Nel caso in cui riceviate un messaggio phishing di Poste Italiane, accertatevi prima che si tratti davvero di una truffa.

Se avete dubbi potete contattare il numero verde ufficiale per tutti i problemi relativi ai sevizi delle Poste Italiane.
Fatelo prima di compiere qualsiasi azione, l’operatore al telefono potrà chiarirvi la situazione e indicarvi le azioni più ragionevoli da fare.

In caso siate sicuri che si tratti di una truffa phishing, cancellate il messaggio senza fare clic su nessun link.

Se siete rimasti già vittime della truffa phishing Poste Italiane dovete agire rapidamente, più velocemente riuscirete a bloccare il vostro attaccante tanto minori saranno i danni.

Per prima cosa contattate il gestore del servizio tramite il numero verde apposito.
Seguite le istruzioni che vi saranno fornite. Di sicuro sarà necessario segnalare il problema alla Polizia Postale che potrà quindi intervenire in vostro soccorso.

La pratica del tentativi di phishing tramite un SMS proveniente in apparenza da Poste Italiane è molto diffusa tra i cybercriminali.
Per difendersi è opportuno utilizzare tutte le normali strategie di difesa dal phishing con qualche altra accortezza utile nel caso specifico.

Ecco un riepilogo dei nostri consigli:

• Fate attenzione al numero di provenienza, se appare un numero di telefono è il caso di fare attenzione

• Chiedetevi: ho già ricevuto messaggi simili? In che contesto? Che cosa è successo poi?

• Controllate che il messaggio corrisponda al servizio di cui effettivamente usufruite. Se il messaggio si riferisce ad un conto ma voi avete solo una carta, si tratta sicuramente di una frode.

• Non fate clic sui link a meno che non abbiate potuto verificarne la fonte con un altro canale di comunicazione (e-mail ufficiale, numero verde, altro…)

• Non fornite informazioni personali come numero di conto, nome utente o password, OTP o altre credenziali. Se si tratta di un servizio reale l’operatore può risalire al vostro account con poche informazioni, non ha mai bisogno di accedere utilizzando la vostra password o il vostro OTP

• Contattate il numero verde per ottenere assistenza in caso in cui ne abbiate necessità

• Se vi viene richiesto il login all’area riservata, fatelo cercando il sito di poste Italiane a partire dal vostro motore di ricerca. Non affidatevi ai link contenuti negli SMS

E’ necessaria una elevata dose di attenzione e un po’ di diffidenza, è vero, ma spesso queste sono sufficienti a impedire ai malintenzionati di arrecarci gravi danni economici.

Proprio per questo è fondamentale mantenersi aggiornati sui tentativi di phishing e sempre allerta.