Negli ultimi giorni è stata segnalata una nuova campagna di phishing che sfrutta il nome e il logo dell’Agenzia delle Entrate per trarre in inganno i cittadini.
L’obiettivo dei truffatori fa sapere quifinanza è quello di ottenere dati finanziari e credenziali di accesso ai conti bancari di ignari utenti.
Il meccanismo è lo stesso che da anni caratterizza questo tipo di attacchi informatici: attraverso email che sembrano provenire da enti ufficiali o istituti di credito, gli autori della truffa spingono le vittime a cliccare su un link o aprire un allegato, convincendole a fornire informazioni riservate.
Nel caso più recente, la truffa si presenta come una comunicazione dell’Agenzia delle Entrate riguardante un presunto rimborso fiscale di 1.495,39 euro.
Il messaggio invita il destinatario ad accedere al sito “agenziaentrate-rimborsi[.]com” e a selezionare il proprio istituto bancario da un elenco per ottenere l’accredito.
Il portale, che imita in modo convincente il sito istituzionale dell’Agenzia, chiede di inserire le credenziali di home banking all’interno di un modulo online.
In realtà, questi dati vengono immediatamente inviati a un bot su Telegram controllato dagli hacker, che li utilizza per accedere ai conti delle vittime.
L’Agenzia delle Entrate ha precisato di essere totalmente estranea a questo tipo di comunicazioni e ha invitato i cittadini a non cliccare sui link contenuti nelle email e a non fornire informazioni personali o bancarie.
Il pericolo principale è la sottrazione di informazioni finanziarie, ma non è l’unico.
Il phishing è spesso il primo passo per attacchi più complessi, che possono includere l’installazione di malware — programmi informatici dannosi che consentono ai truffatori di controllare il computer della vittima o di bloccare i file chiedendo un riscatto (ransomware).
Una volta installato il software malevolo, gli hacker possono anche spiare l’attività online dell’utente, intercettare password e rubare ulteriori informazioni personali.
Per proteggersi dal phishing, l’Agenzia delle Entrate raccomanda alcune semplici precauzioni:
- non aprire mai link o allegati contenuti in email sospette;
- verificare l’indirizzo del mittente, spesso simile ma non identico a quello ufficiale;
- controllare la presenza del protocollo “https” nei siti web, indicatore di una connessione sicura;
- non inserire mai credenziali o dati bancari se non si è certi della legittimità della pagina;
- in caso di dubbi, consultare il portale istituzionale http://www.agenziaentrate.gov.it o contattare direttamente l’ufficio territoriale competente.ù
L’Agenzia delle Entrate invita i cittadini che ricevono comunicazioni sospette a segnalare immediatamente l’accaduto nella sezione “Focus sul phishing” disponibile sul proprio sito, alla voce “Segnalazioni e approfondimenti”.
Inoltre, l’ente ricorda che non invia mai email con richieste di dati sensibili, coordinate bancarie o password di accesso.
Ogni comunicazione ufficiale avviene tramite canali certificati, come la posta elettronica certificata (PEC) o l’area riservata del portale.
Prestare attenzione e riconoscere i segnali di una truffa è la prima forma di difesa contro il phishing, che continua a rappresentare una delle minacce informatiche più diffuse e insidiose.
