Truffe online, nuove false mail dell'Agenzia delle entrate: cosa sapere e come difendersi

Non si placano le truffe online che sfruttano il nome e il logo dell’Agenzia delle entrate per carpire dati personali agli utenti. L’ente statale - che come noto ha il compito di svolgere le funzioni relative alla gestione, all’accertamento, al contenzioso e alla riscossione dei tributi - ha avvisato i contribuenti che stanno circolando delle false mail con le sembianze di una notifica di WeTransfer, un servizio online di condivisione di file tra utenti. L’obiettivo degli hacker è sottrarre le credenziali di posta elettronica.

Per approfondire: Aumentano le frodi da "manipolazione del pagatore": cosa vuol dire

Queste mail, spiega l’Agenzia delle entrate, riprendono il layout delle notifiche inviate da WeTransfer e sembrano provenire da un dominio istituzionale (gov.it), inducendo così il destinatario a scaricare i documenti allegati. Tra essi, c’è una presunta fattura chiamata "FatturaAgenziaEntrate.pdf" (ovviamente falsa). Viene anche trasmesso un senso di urgenza con la presenza nel messaggio di una presunta scadenza imminente ("Scade oggi"). Cliccando sul pulsante "Scarica i file", la vittima viene dirottata su una risorsa malevola sotto il controllo degli hacker e predisposta per sottrarre le credenziali di posta elettronica.

Per approfondire: Truffe dei prestiti, quasi 900mila italiani vittime di frodi: i dati

L'Agenzia delle entrate fa sapere di disconoscere questa tipologia di comunicazioni, rispetto alle quali sottolinea di essere completamente estranea. L'ente raccomanda quindi a chiunque possa ricevere mail simili di prestare massima attenzione e di non cliccare assolutamente sui link contenuti nella comunicazione, e nemmeno di scaricare, aprire e compilare eventuali allegati. L’ente raccomanda inoltre di non fornire credenziali d'accesso, dati personali e coordinate bancarie in caso di telefonate, né di ricontattare il mittente di queste false mail.

Per approfondire: Truffe, dal falso verbale PagoPA alla finta borsa di studio: cosa fare

L’Agenzia delle entrate, sul suo sito, dà anche una serie di consigli per evitare di cadere vittima dei tentativi di phishing, ossia le truffe online in cui i criminali cercano di ingannare le vittime per rubare informazioni personali o finanziarie, come dati bancari, password e numeri di carte di credito. Come spiega l’ente, lo strumento ideale per difendersi dagli attacchi informatici è l'antivirus: quelli moderni, del resto, offrono un buon livello di protezione, almeno dall'esecuzione di software malevoli. Per ridurre al minimo i rischi di incappare in trappole è però importante adottare accorgimenti nell'uso della posta elettronica e di Internet. Anche perché, sottolinea l'Agenzia delle entrate, la linea di difesa più efficace contro gli hacker è la presenza di spirito, coadiuvata dal buon senso e da un pizzico di attenzione.

Ma come si capisce se una mail è sospetta? Come spiega l'Agenzia delle entrate, anzitutto bisogna verificare se il messaggio proviene da un mittente noto; poi bisogna accertarsi che il testo sia scritto in un italiano corretto. Serve anche guadare se la mail sia "ben realizzata", cioè se usa caratteri coerenti, perché se sembra un copia e incolla raffazzonato è altamente probabile sia un falso. Una sola di queste mancanze è sufficiente a considerare prudentemente il messaggio come pericoloso.

Se ci sono collegamenti nel messaggio, la prima verifica da fare è se, al passaggio del mouse, il link corrisponde o meno al testo. È inoltre opportuno diffidare dei link accorciati (come quelli di tipo bit.ly) che non consentono di sapere a priori qual è l'indirizzo di destinazione. Se ci sono allegati, bisogna sempre controllare che abbiano una sola estensione (ad esempio .docx e non .docx.exe). In caso di dubbi sulla provenienza reale di un documento ricevuto per mail, l'Agenzia delle entrate consiglia di non aprirlo e di contattare il mittente per altra via (come, ad esempio, un numero di telefono o un indirizzo mail ufficiale) e chiedere conferma. A questo proposito, l'ente ricorda ai contribuenti che non invia mai per posta elettronica comunicazioni contenenti dati personali.

Per approfondire: Truffe con i deepfake, a che cosa fare attenzione e come difendersi

Ad agosto è stato il turno di un altro tipo di mail falsa. Anche in quell’occasione, l'Agenzia delle entrate aveva avvisato che stavano circolando mail che sfruttavano il nome e il logo dell'ente per sottrarre le credenziali di accesso all'home banking, il servizio offerto dalle banche che permette di gestire da casa i propri conti correnti, effettuare pagamenti e accedere a servizi finanziari. Le false mail, che si spacciavano per comunicazioni ufficiali dell'Agenzia, riportavano presunti rimborsi fiscali di 500 euro.

Per approfondire: Pagamenti digitali, le regole e i consigli per evitare brutte sorprese

In quel caso, come spiega l’Agenzia delle entrate, la mail malevola riportava un falso "codice identificativo del rimborso", uno "stato della pratica", un "importo disponibile" (di 500 euro) e i dettagli della "modalità di erogazione". Sotto c’era un pulsante cliccabile con la scritta "Procedi con la richiesta di rimborso" e/o un QR Code da inquadrare. La potenziale vittima veniva indirizzata a una pagina malevola, dove poteva scegliere tra otto istituti bancari diversi per ottenere il fantomatico accredito.

Per approfondire: Truffe dei contachilometri, Italia perde oltre 467 milioni di euro l'anno