Cybercriminali sfruttano truffe e phishing per sottrarre account WhatsApp e SPID, allarme sicurezza digitale
Indice dei Contenuti:
Truffe e phishing per rubare account WhatsApp e SPID
Account WhatsApp sotto attacco
Un messaggio innocuo, una foto tenera e un link: è così che i truffatori cercano di sottrarre il controllo delle chat personali e dei gruppi. Il raggiro sfrutta la fiducia tra contatti, perché il testo arriva da un profilo già violato e quindi considerato affidabile.
Nel messaggio compare l’immagine di una bambina coinvolta in un presunto concorso di danza online, con l’invito a esprimere un voto tramite un sito indicato nel link. L’utente che tocca l’indirizzo viene reindirizzato a una pagina che chiede di inserire il numero di cellulare e il codice ricevuto via SMS, elemento che simula un normale passaggio di verifica.
In realtà la procedura attiva l’accesso remoto alla versione web del servizio di messaggistica, senza bisogno del codice QR. Chi gestisce il sito malevolo ottiene così la possibilità di leggere conversazioni, avviare nuove chat e contattare parenti o amici chiedendo prestiti urgenti o ricariche, sfruttando l’ansia e la fiducia della cerchia sociale.
SPID e Agenzia delle Entrate nel mirino
Un’altra campagna criminale sfrutta il richiamo istituzionale dell’Agenzia delle Entrate per carpire le credenziali dell’identità digitale. La vittima riceve una mail formale, graficamente curata, che annuncia verifiche fiscali o aggiornamenti obbligatori all’area riservata.
Il link contenuto nel testo apre una pagina che imita l’accesso tramite SPID, con loghi e layout simili a quelli dei gestori legittimi. Inserendo password e dati richiesti, l’utente consegna di fatto la propria identità digitale ai truffatori, che possono autenticarsi su servizi pubblici e privati, consultare documenti, modificare informazioni e attivare pratiche fraudolente a suo nome.
Il CERT-AgID ha segnalato e richiesto la disattivazione dell’infrastruttura utilizzata per il phishing, ma alcuni domini restano attivi e vengono rapidamente sostituiti, rendendo necessario un controllo costante degli URL e massima diffidenza verso i link ricevuti via email.
False comunicazioni istituzionali
In parallelo circolano messaggi che sembrano provenire dalla Polizia Postale, con oggetto allarmistico su presunte violazioni informatiche o indagini in corso. I criminali puntano a intimidire, chiedendo una risposta immediata per evitare sanzioni o procedimenti legali.
Queste email spesso includono allegati o link a documenti fittizi: aprirli può portare all’installazione di malware, al furto di credenziali di accesso o alla raccolta di informazioni sensibili utili per successive estorsioni digitali. Ogni riferimento a denunce non presentate o a reati mai commessi è un campanello d’allarme.
Nessun pagamento, invio di documenti o compilazione di moduli deve essere effettuato attraverso i canali indicati in tali comunicazioni. In caso di dubbio è necessario verificare l’indirizzo mittente, consultare il sito ufficiale della Polizia di Stato o contattare direttamente gli uffici territoriali, evitando qualsiasi interazione con i link sospetti.
FAQ
D: Come avviene il furto dell’account di messaggistica tramite il finto concorso di danza?
R: Il truffatore induce a inserire numero di telefono e codice SMS in una pagina fasulla, ottenendo l’accesso alla versione web dell’app e prendendo il controllo del profilo.
D: Cosa devo fare se ho fornito il codice ricevuto via SMS?
R: Occorre uscire da tutte le sessioni attive dalle impostazioni dell’app, reimpostare l’accesso e avvisare immediatamente i propri contatti di ignorare eventuali richieste di denaro.
D: Perché le email sul finto accesso all’area riservata sono pericolose?
R: Perché rimandano a una pagina che replica il login SPID e consente ai criminali di usare l’identità digitale su servizi pubblici e portali di pagamento.
D: Come riconoscere un’email di phishing legata all’Agenzia delle Entrate?
R: Gli indizi principali sono urgenza immotivata, errori nel testo, mittente anomalo e richiesta di cliccare su link per “verificare dati” o “evitare il blocco del profilo”.
D: Le forze dell’ordine inviano davvero accuse di reato via email?
R: No, eventuali comunicazioni ufficiali seguono canali formali e non chiedono di cliccare link o scaricare allegati per evitare denunce immediate.
D: Cosa fare se ricevo un’email che sembra della Polizia Postale?
R: Non bisogna rispondere né aprire allegati; è consigliabile segnalare il messaggio alla Polizia Postale tramite i canali ufficiali, allegando l’header completo.
D: Qual è la fonte delle allerte su queste truffe?
R: Le segnalazioni arrivano dalla Polizia Postale e dal CERT-AgID, come riportato nelle note ufficiali diffuse dagli uffici di comunicazione istituzionale.
D: Quali precauzioni generali adottare contro queste frodi digitali?
R: Verificare sempre i mittenti, non condividere codici di verifica, digitare manualmente gli indirizzi dei siti istituzionali e attivare l’autenticazione a due fattori su tutti i servizi critici.
DIRETTORE EDITORIALE
Michele Ficara Manganelli ✿
PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI
Per acquistare pubblicità CLICCA QUI
Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI
