Questo sito contribuisce alla audience di Il Messaggero
Scopri le migliori offerte sul canale Telegram ufficiale. Guarda su Telegram

Come difendersi dal phishing Poste Italiane

di

Da due settimane circa, stai ricevendo “strane” email provenienti da Poste Italiane, la società che si occupa del servizio postale in Italia. Nei messaggi in questione ti viene detto che il tuo conto Banco Posta e/o la tua carta Postepay sono a rischio chiusura e, per evitare di perderli, devi cliccare su un link indicato nell'email per poi fornire i dati d'accesso del tuo account.

Dato che la cosa ti ha insospettito un po', prima di cliccare sul link che ti è stato inviato, hai deciso di fare una breve ricerca online e di verificare l'attendibilità di questi messaggi: così hai scoperto che si trattava di un tentativo di phishing, cioè di una truffa via email tesa a carpire le tue credenziali d'accesso. Ma non solo: potresti aver ricevuto anche altre comunicazioni fraudolente. Il phishing, infatti, si declina in tanti modi diversi e comprende anche truffe via SMS e altri mezzi informatici, sempre tese a rubare i dati di accesso dei malcapitati.

Che dire? Hai fatto benissimo ad approfondire la questione. Come ti ho sempre detto, non bisogna fidarsi dei messaggi che richiedono l'inserimento di username e password (a meno che non si sia effettuata una richiesta diretta in tal senso a un sito o un servizio online). Ma ci sono anche altri modi per riconoscere i tentativi di phishing. Qualche esempio? Te lo dico subito: prenditi cinque minuti di tempo libero, leggi attentamente le indicazioni che sto per darti e scopri come difenderti dal phishing Poste Italiane o da altri tentativi di truffe. Non è poi così difficile.

Indice

Esempi di phishing via email Poste Italiane

Poste

Prima di spiegarti come puoi riconoscere e difenderti dai tentativi di phishing che riguardano i servizi di Poste Italiane, ti faccio alcuni esempi di e-mail truffa. Prova a confrontare i messaggi che hai ricevuto nella tua casella di posta elettronica con le e-mail d'esempio che trovi qui sotto: sono sicuro che troverai numerose somiglianze.

PRIMA E-MAIL

Oggetto della e-mail: Il tuo conto di PostePay sara chiuso oggi

Contenuto del messaggio:

Caro cliente Poste.it,

Il vostro conto sara chiuso perche non lo avete utilizzato nel mese passato.

Se volete annullare la chiusura, dovete verificare le vostre informazioni di utente

Accedi ai servizi online di Poste.it e verifica i tuoi dati per continuare usare i nostri servizi!

Dopo che hai verificato i dati riceverai un email di conferma tra 24 ore.

Grazie,
Poste Italiane.

SECONDA E-MAIL

Oggetto della e-mail: Accredito 29/01/2018 temporaneamente bloccato

Contenuto del messaggio:

Gentile Cliente,

Abbiamo ricevuto una segnalazione di accredito di Euro 129 ricevuta il giorno 24/4/2007 da UFFICIO POSTALE 13.55 BRANDIZZO. L'accredito è stato temporaneamente bloccato a causa delle fascie orarie, potrà ora essere verificato e successivamente accreditato sul suo conto postale:

Clicca su questo link e Acceda al servizio accrediti di Poste.it e verifichi le sue transazioni »

Cordiali saluti,
Poste Italiane

TERZA E-MAIL

Oggetto della e-mail: Verifica il tuo conto BancoPostaonline !

Contenuto del messaggio:

Oggetto: Comunicazione nr. 91258 del 29 gennaio 2018 – Leggere con attenzione

Gentile Cliente,

nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei

servizi di Posteitaliane e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto

da Lei forniti all momento della sottoscrizione contrattuale.

L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo

gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente

perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei

dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi

all'anaagrafica dell'Intestatario dei servizi Postali.

Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro:
[link]
Cordiali Saluti.

QUARTA E-MAIL

Oggetto della e-mail: Nuovo servizio di postepay disponibile !

Contenuto del messaggio:

Caro Poste Italiane cliente ,

Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto è stato scelto a caso per questa manutenzione, e lei sarà adesso portato attraverso una serie di pagine di verifica di identità.

Per eseguire la manutenzione regolare per favore scatto qui

Proteggere la sicurezza del suo Primo conto bancario di Scambio è il nostro interesse primario, e chiediamo scusa per qualunque inconvenienza che questo può causare

Per favore nota:

Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto è fraudolento e sarà sospeso. Lo scopo di questa verifica è assicurare che il suo conto non è stato fraudolentamente usato e combattere la frode dalla nostra comunità.
2018 Banco Poste Italiane . Tutti i diritti hanno riservato.

Probabilmente avrai notato quali sono gli elementi che rendono facilmente riconoscibili le e-mail che nascondono un tentativo di phishing. Sono elencati proprio qui sotto.

  • Uso di toni allarmistici — per spingere gli utenti a eseguire i loro “ordini”, i cybercriminali fanno leva sulle loro paure e sulla loro ingenuità. Tuttavia, bisogna ricordare che il customer care di Poste Italiane non userebbe mai frasi del tipo “La tua PostePay sarà chiusa oggi se…” o “Verifica subito il tuo conto, altrimenti…” che, per dirla tutta, suonano come una minaccia.
  • Linguaggio grammaticalmente scorretto e poco fluido — nelle e-mail d'esempio che ho riportato sopra ho volutamente inserito degli errori grammaticali perché questi sono un altro elemento che quasi sempre si trova nei messaggi di phishing.
  • Presenza di richieste “strane” all'interno del messaggio — se ti viene richiesto di cliccare su un link (magari per la solita scusa della modifica delle credenziali), non farlo o rischi di consegnare ai cybercriminali le credenziali d'accesso al tuo account.

Esempi di phishing via SMS Poste Italiane

Smishing Poste Italiane

Il phishing, oltre a perpetuarsi tramite email, si concretizza in numerosi altri modi che prendono nomi differenti. Quello eseguito tramite SMS, ad esempio, si chiama smishing e Poste Italiane ne è soggetta piuttosto frequentemente.

In questo caso, quindi, il mezzo d'elezione per le truffe è l'SMS inviato spesso tramite il canale ufficiale di poste (o che, almeno, pare tale): il mittente PosteInfo (o Posteinfo), dal quale potresti aver ricevuto dei reali codici OTP. I messaggi truffaldini, comunque, sono piuttosto riconoscibili e qui sotto te ne riporto qualche esempio.

PRIMO SMS

Gentile cliente la sua carta è in fase di blocco per mancato fattore di sicurezza. Accedi ora [link]

SECONDO SMS

Non siamo in grado di consegnare il pacco a causa dell'indirizzo non valido modificare l'indirizzo per la consegna tempestiva: [link]

TERZO SMS

Gentile cliente, è stata richiesta una spesa di 284 euro, se non è lei seguire il [link]

QUARTO SMS

ATTENZIONE: abbiamo rilevato un'anomalia la invitiamo a verificare per evitare il blocco delle sue utenze [link]

Come puoi vedere, nel tempo, le truffe si sono affinate: la grammatica non è particolarmente scorretta (anche se la punteggiatura, solitamente, è poco utilizzata e la fluidità lascia a desiderare), ma rimangono comunque i toni allarmistici e solitamente, vengono utilizzati link non molto credibili — come https://p23p1.it.45-12-2-209.cprapid.com/a01a/ — che poco hanno a che vedere con l'ufficialità di Poste Italiane.

Inoltre, le richieste più subdole alle quali è necessario prestare maggiore attenzione, riguardano l'apparente richiesta di informazioni — come l'indirizzo di residenza o domiciliazione — che non sono considerate “pericolose” e che non vengono indicate dal sito di Poste Italiane come una dato che non viene mai richiesto (aspetto di cui ti parlerò in un paragrafo dedicato). In qualsiasi caso, anche in queste circostanze, lo scopo ultimo del truffatore è quello di ottenere i dati di accesso al sito Web di Poste Italiane tramite un sito-copia e la richiesta di modifica dell'indirizzo è solo un espediente.

Da rimarcare, inoltre, è l'utilizzo del canale ufficiale PosteInfo: anche se in apparenza il messaggio potrebbe destare meno preoccupazioni perché arriva dal reale mezzo utilizzato da Poste Italiane per comunicare con i suoi utenti i codici OTP, è necessario comunque prestare molta attenzione perché si tratta ugualmente di fondi informatiche.

Altri tipi di phishing

Truffe online phishing

Le truffe non riguardano solo il phishing via email o quello tramite SMS. Periodicamente, infatti, vengono utilizzati anche altri mezzi come le chiamate telefoniche (vishing), i messaggi tramite social network e false app.

Dopo attività di phishing tramite email o SMS, infatti, è possibile essere contattati da un falso operatore telefonico di Poste Italiane che normalmente informa di falsi accessi anomali o movimenti sospetti sui propri conti BancoPosta o carte Postepay. Dopodiché richiede di spostare i soldi presenti su tali conti/carte su un ulteriore conto “sicuro”, facendo eseguire al malcapitato tutti gli step mentre è al telefono con la scusa di supervisionare la buona riuscita delle operazioni.

Naturalmente chiamate del genere sono truffe: Poste Italiane (ma anche tutti gli altri istituti bancari) non richiede mai di spostare il proprio denaro su altri conti correnti e non chiede mai informazioni personali sui propri servizi postali.

Tramite social network, invece, le truffe si presentano solitamente a seguito di un messaggio pubblico postato sui profili ufficiali di Poste Italiane. Anche in questo caso un finto operatore di call center contatta il malcapitato tramite messaggio privato richiedendo informazioni personali.

In ultimo, sui market non ufficiali, sono presenti delle false app per smartphone che sembrano affiliate a Poste Italiane per ottenere guadagni facili. Tali app possono rappresentare un grosso pericolo per la sicurezza informatica perché possiedono codici in grado di accedere a parti della memoria del telefono normalmente criptate. Diffida sempre dalle app non ufficiali, scaricando solo quelle promosse da Poste Italiane.

Difendersi dal phishing Poste Italiane

Difendersi dalle truffe

Dopo aver compreso come identificare tutte le comunicazioni sospette che asseriscono di provenire da Poste Italiane, è giunto il momento di comprendere come difendersi da queste ultime.

In realtà ti ho già accennato nei capitoli precedenti cosa devi fare per difenderti da qualsiasi tentativo di phishing (che riguardi un servizio offerto da Poste Italiane o da un qualsiasi altro servizio online) e cioè ignorare le e-mail, i messaggi o le chiamate sospette e, soprattutto, non cliccare sui link che ti sono stati inviati.

Inoltre, puoi anche controllare con attenzione il mittente (nel caso delle email) per verificare che sia scritto correttamente e confrontarlo con altre email ricevute da Poste Italiane. Ricorda anche di non scaricare gli allegati delle email sospette che potrebbero contenere malware e controlla la reale app di Poste Italiane per vedere se hai ricevuto qualche notifica push relativa a comunicazioni ufficiali sulle tue operazioni di pagamento. Se non c'è nessuna notifica il messaggio è da considerare sicuramente una truffa.

Ricordati, inoltre, che Poste Italiane non richiede mai ai propri utenti di reimpostare le credenziali d'accesso al proprio account, né tantomeno richiede nome utente, password, codice PosteID, dati delle carte come PIN, numero della carta, data di scadenza e CVV o codici segreti per autorizzare le operazioni come codice conto e codici OTP. Inoltre Poste Italiane non richiede in nessun caso di eseguire transazioni online, in ufficio postale o tramite ATM.

Ma cosa accadrebbe qualora cliccassi sul link che hai ricevuto? Beh, verresti rimandato a una pagina Web, realizzata ad hoc dai cybercriminali, che somiglia in tutto e per tutto a quella di Poste Italiane. Nella pagina in questione, ti verrebbe indicato di inserire le tue credenziali d'accesso negli appositi campi, magari per reimpostare la tua password e mettere il tuo account in “sicurezza”. Tuttavia, se facessi una cosa del genere “collaboreresti” con coloro che hanno perpetrato il phishing consegnando loro le “chiavi” del tuo account.

Come dici? La cosa ti spaventa e, quindi, ti piacerebbe evitare di ricevere le e-mail che nascondono un tentativo di phishing? Purtroppo non esistono soluzioni efficaci al 100%. Tuttavia, puoi seguire le “dritte” che ti ho fornito nel tutorial dedicato a come combattere lo spam per cercare di ridurre il numero di e-mail indesiderate dietro alle quali potrebbe celarsi un tentativo di truffa. Magari potresti provare a creare dei filtri anti-spam, segnalare al tuo provider i messaggi indesiderati e utilizzare e-mail temporanee quando ti iscrivi a servizi online dalla dubbia affidabilità.

Come ti ho già detto, anche adottando simili accorgimenti potresti ricevere e-mail indesiderate. Tuttavia puoi difenderti ignorandole e non cliccando sui link che ospitano al loro interno. Più facile di così?!

Cosa fare se si è vittima del phishing Poste Italiane

Cosa fare dopo la truffa

Se sei arrivato a leggere fino a questo punto dell'articolo, evidentemente non sei stato molto accorto e non hai seguito le “dritte” che ti ho fornito nei paragrafi precedenti. Se purtroppo sei caduto vittima di un tentativo di phishing, devi comunicare immediatamente l'accaduto a Poste Italiane e alla polizia postale. Così facendo puoi quantomeno tentare di evitare il peggio.

Se ricordi, ti ho già spiegato come contattare Poste Italiane in un tutorial dedicato, ma lascia che ti rinfreschi un po' la memoria. Puoi contattare il customer care di Poste Italiane utilizzando una delle seguenti modalità.

  • Telefono — puoi chiamare il numero verde gratuito 803.160 (da rete fissa) o il numero a pagamento 06.4526.3160 (da rete fissa e da rete mobile, con costo variabile in base alla tariffa dell'operatore dal quale si effettua la chiamata) e ascoltare le indicazioni presentate dalla voce guida. Il servizio è attivo dal lunedì al sabato, esclusi i festivi, dalle 8.00 alle 20.00.
  • Online — utilizzando i canali social, come Facebook e X (Twitter).
  • E-mail — puoi inviare un'e-mail all'indirizzo antiphishing@posteitaliane.it, magari inserendo nell'oggetto del messaggio la dicitura “Sono stato vittima di phishing Poste Italiane” e comunicando i dettagli dell'email/messaggio/chiamata sospetta.
  • Ufficio postale — per cercare quello più vicino a te puoi recarti sul sito Web di Poste Italiane.

Per segnalare l'accaduto alla polizia postale, invece, nel momento in cui scrivo, puoi procedere unicamente tramite denuncia presentata nell'ufficio di polizia più vicino, che puoi trovare mediante una ricerca su questa pagina Web del sito ufficiale della polizia postale. La procedura telematica, un tempo possibile usufruendo del servizio Denuncia vi@ Web, è momentaneamente sospesa.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.