I truffatori inviano false comunicazioni dell’Agenzia delle Entrate che presentano in allegato un file pdf per mettere informazioni sensibili
L’Agenzia delle Entrate, attraverso il suo canale di comunicazione ufficiale FiscoOggi, lancia un nuovo allarme inerente tentativi di truffa online.
Nonostante le segnalazioni avvenute nella settimane scorse, continuano ad arrivare ai contribuenti false e-mail da indirizzi di posta elettronica simili a quelli dell’Agenzia delle Entrate.
Le comunicazioni hanno a oggetto irregolarità delle dichiarazioni IVA. L’Amministrazione finanziaria invita a non aprire tali email e soprattutto non scaricare allegati e non seguire i link. Ecco a cosa stare attenti per evitare di comunicare i propri dati a chi si spaccia per l’Agenzia delle Entrate.
Come riconoscere le truffe legate all’Agenzia delle Entrate
Il phishing è una tecnica con la quale si cerca di carpire informazioni riservate come, ad esempio, il numero della carta di credito o le credenziali di accesso a vari sistemi come la telebanca.
La tecnica con la quale si conduce questo attacco è sostanzialmente semplice: si distribuisce in maniera massiccia una mail che riproduce, in maniera più o meno accurata, quella di un servizio noto, per esempio il tracking di un corriere o un’informativa della banca.
In primo luogo le comunicazioni sono caratterizzate dal campo oggetto con la dicitura Commissione di supervisione del registro tributario oppure Comitato per l’osservanza dell’anagrafe tributaria o Gruppo di vigilanza sul registro tributario o ancora Gruppo di controllo del registro tributario.
In secondo luogo è necessario controllare l’indirizzo del mittente e verificare che lo stesso sia realmente nella disponibilità dell’Agenzia, in alcuni casi le differenze tra l’indirizzo esatto e il falso sono davvero minime, può trattarsi anche di una sola lettera, un punto o dell’estensione finale.
Nel testo della mail, oppure all’interno di un allegato, è presente un link che porta a una pagina web, anch’essa il più possibile simile a quella “legittima”, nella quale l’utente ignaro inserisce in buona fede le informazioni riservate che vengono in questo modo raccolte dall’attaccante. il sistema è simile, per certi versi, alla pesca a strascico: si getta una rete più ampia possibile e si cerca di raccogliere ciò che vi rimane impigliato.
Il nome phishing proviene proprio dall’idea di “andare a pesca” di informazioni riservate. Infine, la firma apposta è “Direzione Nazionale Agenzia delle Entrate”.
Il furto di informazioni non è tuttavia l’unico rischio: le tecniche tipiche del phishing vengono infatti utilizzate per mettere in atto anche attacchi più pericolosi.
Il sistema di base è lo stesso: si tenta di ingannare il destinatario dell’attacco e convincerlo a eseguire un’operazione “normale”, come cliccare su un link o aprire un file allegato che all’apparenza sembra di provenienza legittima o comunque innocua.
Lo scopo è quello di lanciare un malware, un software malevolo che può servire, ad esempio, per prendere il controllo del computer attaccato, oppure per estorcere denaro tramite un ransomware. Non è la prima volta che accade, anche con altri Enti, come il falso messaggio svuota conto di Poste Italiane.
Questi sono gli elementi a cui prestare attenzione dal punto di vista dei contenuti, ma non sono solo questi i dettagli. Le e-mail truffa dell’Agenzia delle Entrate spesso arrivano dall’estero, questo implica che nella maggior parte dei casi l’italiano utilizzato non è dei migliori e vi sono errori ortografici, grammaticali e sintattici notevoli. In tutti questi casi è bene prestare attenzione.
Come difendersi
Per difendersi dagli attacchi di phishing e da malware dannosi occorre tenere sempre presente che lo strumento più efficace è l’uso consapevole degli strumenti informatici.
Gli antivirus moderni offrono ormai un buon livello di protezione, ma per ridurre al minimo i rischi di incappare in una di queste trappole è fondamentale adottare una serie di accorgimenti.
Per esempio, riuscire a riconoscere una mail sospetta è il primo passo. Ma come? Intanto, cominciando col chiedersi se il messaggio proviene da un mittente noto, poi verificando se è scritto in italiano corretto.
Inoltre, se ci sono collegamenti nel messaggio, la prima verifica da fare è se, al passaggio del mouse, il link corrisponde al testo (senza mai cliccare). Se ci sono allegati, invece, bisogna sempre controllare che abbiano una sola estensione (ad esempio .docx e non .docx.exe).
Ad ogni modo, non solo quando si ha il sospetto che non sia una comunicazione ufficiale ma in generale, piuttosto che aprire, scaricare o consultare un documento ricevuto per mail o sms, è preferibile contattare il mittente per altra via (un numero di telefono o un indirizzo email ufficiale) e chiedere conferma.
L’Agenzia delle Entrate invita a non aprire questa tipologia di comunicazione. Se comunque permangono dei dubbi sulla veridicità, è possibile approfondire le caratteristiche del phishing nella sezione dedicata del sito dell’Agenzia delle Entrate. Inoltre è possibile rivolgersi a uno dei recapiti dell’Agenzia presenti sul sito tra cui il numero verde 800 90 96 96.