Truffa SMS del CUP: una nuova campagna di smishing che sfrutta la sanità pubblica

Negli ultimi mesi in diverse regioni italiane, tra cui Friuli-Venezia Giulia e Lombardia, sono state segnalate numerose campagne di SMS fraudolenti che sfruttano il nome del CUP (Centro Unico di Prenotazione) per convincere gli utenti a compiere azioni dannose per il proprio credito telefonico o, in alcuni casi, per la propria sicurezza informatica.

Cos’è la truffa SMS del CUP

La truffa prende la forma di un messaggio di testo (SMS) apparentemente collegato alle strutture sanitarie pubbliche, nel quale si invita il destinatario a contattare con urgenza un numero di telefono per presunte “informazioni importanti” riguardanti prenotazioni, appuntamenti o comunicazioni personali.

Elementi tipici del messaggio fraudolento:

• testo generico come “Si prega di contattare con urgenza i nostri uffici CUP…”;
• denominazioni errate o insolite come Centro Unico Primario o Centro Unico Polivalente (non esistenti nei servizi sanitari ufficiali);
• un numero telefonico da richiamare che non appartiene ai canali ufficiali delle ASL/Regioni.

Perché è pericolosa

I numeri indicati nell’SMS solitamente iniziano con prefissi 899, 893, 892, 894, 895. Queste non sono numerazioni ordinarie, ma servizi a tariffa aggiuntiva o premium: chiamarli può portare a costi elevati addebitati sul credito telefonico o in alcuni casi direttamente in bolletta.

Quando si chiama il numero indicato:

• spesso si attiva una voce preregistrata o un operatore che trattiene in linea l’utente;
• dopo vari secondi o minuti, la comunicazione si interrompe;
• nel frattempo, il credito telefonico del chiamante si consuma rapidamente.

Nel nostro esempio ha risposto proprio un operatore che, con la scusa del rinnovo della tessera sanitaria, è riuscito a condurre la conversazione in modo da non insospettire la vittima.

Grazie a questo approccio apparentemente rassicurante, ha cercato di trattenerla al telefono il più a lungo possibile con l’unico obiettivo di accumulare più credito possibile.

Le comunicazioni reali del CUP sono molto diverse dai falsi SMS:

• inviate con mittenti riconoscibili (es. CUP o direttamente la denominazione dell’Azienda Sanitaria);
• includono informazioni specifiche su una prenotazione concretamente esistente (numero, data, ora, luogo);
• non contengono numeri da richiamare o richieste urgenti di cliccare link o chiamare numeri sconosciuti.

Conclusione

La truffa SMS del CUP rappresenta un caso di smishing, una forma di phishing via SMS, che sfrutta un contesto sensibile come quello sanitario per indurre rapidità decisionale e ridurre la capacità di verifica degli utenti.

Conoscere i segnali di allarme e applicare semplici regole di prudenza può ridurre significativamente il rischio di cadere in queste trappole digitali.

Manuel Roccon

Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Aree di competenza: Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication