Truffe online, ancora falsi rimborsi a nome dell'Agenzia delle Entrate: come difendersi

È stata recentemente individuata una nuova campagna di phishing che sfrutta nome e logo dell’Agenzia delle Entrate e che ha l’obiettivo di sottrarre i dati finanziari dei clienti di alcuni istituti bancari. Le comunicazioni appartenenti a questa campagna, che si spacciano per comunicazioni ufficiali dell’Agenzia, fanno riferimento a un presunto rimborso fiscale di 1.495,39 euro che può essere accreditato accedendo al falso sito "agenziaentrate-rimborsi.com" e selezionando il proprio istituto bancario da un elenco che viene proposto.

Per approfondire: Truffe online, falsa fattura dall'Agenzia delle Entrate: cosa sapere

Dopo aver scelto l’istituto, viene richiesto l’inserimento delle credenziali di accesso in un form, tramite il quale il sito fraudolento provvede a raccoglierle e inviarle a un bot Telegram controllato dagli hacker. L'Agenzia delle Entrate raccomanda di prestare la massima attenzione quando si riceve questo tipo di comunicazioni, di non cliccare i link presenti al loro interno e di non fornire credenziali d’accesso, dati personali e coordinate bancarie.

Per approfondire: Aumentano le frodi da "manipolazione del pagatore": cosa vuol dire

Non solo falsi rimborsi. Da recenti segnalazioni, l'Agenzia delle Entrate ha spiegato che è stata individuata un'altra campagna di phishing ai danni dei cittadini che sfrutta illecitamente il nome e il logo dell'ente. Questa campagna ha l'obiettivo di ottenere dati sensibili degli utenti e, per le vittime che completano il procedimento finale, persino il wallet crypto.

Per approfondire: Truffe dei prestiti, quasi 900mila italiani vittime di frodi: i dati

Come spiega l'Agenzia delle Entrate, viene richiesto di inserire numerosi dati personali e finanziari, includendo alcune domande che simulano una procedura di tracciamento e profilazione come, ad esempio, la provenienza del capitale investito e la frequenza dei movimenti delle criptovalute. Questi elementi sono riconducibili a tecniche psicologiche note, utilizzate per conferire autorevolezza alle comunicazioni fraudolente, assieme ad altre caratteristiche come il design gradevole del sito, il dominio verosimile, la presenza di loghi ufficiali, il senso di urgenza (dato che si intima la scadenza in giornata).

Il processo si conclude con la "Domanda 8 di 8", che prevede l'import delle transazioni nelle criptovalute Solana o Ethereum oppure il collegamento del proprio wallet. Completare questo passo, spiega l'Agenzia delle Entrate, permette agli attaccanti di ottenere le chiavi private e, di conseguenza, garantisce il controllo completo dello stesso wallet.

L'Agenzia delle Entrate disconosce queste tipologie di comunicazioni, rispetto alle quali sottolinea di essere completamente estranea. L'ente raccomanda a chiunque possa ricevere mail simili di prestare massima attenzione e di non cliccare assolutamente sui link contenuti nella comunicazione, e nemmeno di scaricare, aprire e compilare eventuali allegati. L’ente raccomanda poi di non fornire credenziali d'accesso, dati personali e coordinate bancarie in caso di telefonate, né di ricontattare il mittente di queste false mail.

L’Agenzia delle Entrate, sul suo sito, dà anche una serie di consigli per evitare di cadere vittima dei tentativi di phishing. Partiamo proprio da qui: cos'è esattamente il phishing? Si tratta, spiega l'ente, di una tecnica con la quale si cerca di carpire informazioni riservate quali, ad esempio, il numero della carta di credito o le credenziali di accesso a vari sistemi come la telebanca. Il sistema è simile alla pesca a strascico: si getta una rete più ampia possibile e si cerca di raccogliere ciò che vi rimane impigliato. Il nome "phishing" proviene proprio dall'idea di "andare a pesca" di informazioni riservate.

Come spiega l'Agenzia, la tecnica con cui si conduce questo attacco è di fatto semplice: si distribuisce in maniera massiccia una mail che riproduce, in maniera più o meno accurata, quella di un servizio noto, per esempio il tracking di un corriere o un’informativa della banca, o ancora una comunicazione dell’Agenzia. Nel testo della mail, o all’interno di un allegato, è presente un link che porta a una pagina web, anch'essa il più possibile simile a quella "legittima", nella quale l’utente ignaro inserisce in buona fede le informazioni riservate, che vengono raccolte dall'hacker.

Per approfondire: Truffe, dal falso verbale PagoPA alla finta borsa di studio: cosa fare

Ma come si capisce se una mail è sospetta? Come spiega l'Agenzia delle Entrate, anzitutto bisogna verificare se il messaggio proviene da un mittente noto; poi bisogna accertarsi che il testo sia scritto in un italiano corretto. Serve anche guadare se la mail sia "ben realizzata", cioè se usa caratteri coerenti, perché se sembra un copia e incolla raffazzonato è altamente probabile sia un falso. Una sola di queste mancanze è sufficiente a considerare prudentemente il messaggio come pericoloso.

Per approfondire: Truffe dei contachilometri, Italia perde oltre 467 milioni di euro l'anno

Se ci sono collegamenti nel messaggio, la prima verifica da fare è se, al passaggio del mouse, il link corrisponde o meno al testo. È inoltre opportuno diffidare dei link accorciati (come quelli di tipo bit.ly) che non consentono di sapere a priori qual è l'indirizzo di destinazione. Se ci sono allegati, bisogna sempre controllare che abbiano una sola estensione (ad esempio .docx e non .docx.exe). In caso di dubbi sulla provenienza reale di un documento ricevuto per mail, l'Agenzia delle entrate consiglia di non aprirlo e di contattare il mittente per altra via (come, ad esempio, un numero di telefono o un indirizzo mail ufficiale) e chiedere conferma. A questo proposito, l'ente ricorda ai contribuenti che non invia per posta elettronica comunicazioni contenenti dati personali.

Per approfondire: Pagamenti digitali, le regole e i consigli per evitare brutte sorprese

L'Agenzia delle Entrate ricorda che, per difendersi da questo tipo di attacchi, lo strumento più efficace è l’uso consapevole degli strumenti informatici. Gli antivirus moderni offrono sì un buon livello di protezione, almeno dall'esecuzione di software malevoli, ma per ridurre al minimo i rischi di incappare in una di queste trappole è fondamentale adottare una serie di accorgimenti nell’uso della posta elettronica e di Internet. Come sottolinea l'Agenzia, la linea di difesa più efficace contro gli attacchi informatici di questo tipo è la presenza di spirito, coadiuvata dal buon senso e da un pizzico di attenzione.

Per approfondire: Truffe con i deepfake, a che cosa fare attenzione e come difendersi