Altro che rimborsi dell’Agenzia delle Entrate: è phishing!

La Polizia Postale e delle Comunicazioni ha segnalato una nuova campagna di phishing sempre a tema Agenzia delle Entrate condotta in parallelo rispetto alla campagna del malware Ursnif.

Stavolta con una variazione, però. Infatti, le e-mail contraffatte ricevute dai contribuenti consistono in una comunicazione di rimborso, con tanto di indicazione di una delibera direttoriale all’interno del corpo del testo e l’invito a scaricare un allegato .xls che dovrà essere compilato con i dati della propria carta di credito e restituito per poter così sbloccare la possibilità di accredito del rimborso.

Volendo comparare questa campagna con altre analoghe, il comune denominatore è nell’autorevolezza e notorietà del mittente che contribuisce nell’indurre in errore circa l’affidabilità della comunicazione ricevuta. Insomma: in pratica serve ad impedire che chi riceve la comunicazione si ponga troppe domande circa l’attendibilità di quel che viene richiesto.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Superato questo primo potenziale ostacolo, infatti, la vittima esegue l’azione richiesta e quindi scarica l’allegato e fornisce i propri dati.

Il movente dell’azione in questo caso non è la paura di ricevere una sanzione – fattore comunemente impiegato nel caso di campagne di phishing provenienti da un attore pubblico – bensì il desiderio di ottenere un vantaggio economico ovverosia l’accredito del rimborso.

Nonché la possibilità di riceverne di futuri, dal momento che la richiesta formulata appare come un adempimento una tantum per poter avere così dei rimborsi sulla propria carta di credito o sul conto collegato.

Chi progetta questo genere di campagne punta all’esecuzione delle stesse su larga scala e alla realizzazione di profitti attraverso dataset o anche ricavi economici con sottrazione fraudolenta di denaro, scommettendo su inconsapevolezza più che disattenzione. Inconsapevolezza che può trovare riparo ricorrendo a delle buone abitudini di igiene digitale ma soprattutto ad un esercizio mentale accessibile per chiunque: fare un parallelismo con il mondo offline, e prendersi tempo per pensare prima di agire.

Infatti, nel mondo analogico daremmo molto difficilmente la nostra carta di credito ad uno sconosciuto che si presenta presso il nostro domicilio come messo dell’Agenzia delle Entrate.

O almeno: prima vorremmo accertarci circa la sua identità e qualifica, dopodiché saremmo ben disposti a svolgere questa tipologia di operazione solo all’interno dei locali noti dell’istituzione pubblica. E quindi, ragionando in modo semplice, ecco cosa si può fare:

• accedere al proprio cassetto fiscale e verificare se c’è qualche richiesta pendente;
• chiamare l’Agenzia delle Entrate per chiedere chiarimenti circa il rimborso.

Altro non è che estendere il nostro approccio prudenziale anche al mondo online, applicando cautele analoghe in quanto necessarie alla nostra tutela. Il tutto va ovviamente fatto prima di svolgere qualsiasi azione. Anche scaricare allegati che potrebbero installare contenuti malevoli all’interno dei dispositivi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore