Sugli smartphone circola una nuova truffa, questa volta legata ad Autostrade per l’Italia. Tramite la pratica illegale chiamata “phishing” i ladri rubano dati sensibili con un link allegato al messaggio. Nella notifica si legge “Autostrade per l,Italia: risulta un pedaggio non saldato”. Non c’è alcun errore di punteggiatura nella frase precedente, infatti è l’sms incriminato ad avere un apostrofo “caduto” tra l’articolo e la I maiuscola. Questo è senza dubbio un primo campanello d’allarme. Tuttavia, nella frenesia della vita odierna, può capitare di non prestare attenzione ai dettagli e, dunque, di aprire il messaggio e cliccare sul link allegato. Inserendo i propri dati i truffatori rubano password e codici personali con cui possono, tra le tante informazioni, sottrarre i numeri bancari e svuotare conti correnti.
Il link truffaldino
Il fulcro della truffa sta nel link allegato al messaggio. Cliccando sul sito indicato nell’sms da pc si viene reindirizzati sul sito ufficiale di Autostrade per l’Italia, arginando così la truffa. Il problema sussiste se si procede tramite telefono. Aprendo il link compare una pagina identica a quella di Autostrade che, però, è falsa. Il sito è replicato alla perfezione e utilizza un codice complesso che non richiede l’inserimento di dati tramite moduli standard, a differenze dei tradizionali siti di phishing. Nel caso della nuova truffa, con un collegamento nascosto i ladri rubando i dati inseriti in tempo reale tramite un server controllato.
Phishing-as-a-service
La truffa proviene dal mercato nero, da un pacchetto definito “phishing-as-a-service“. Quest’ultimo costa migliaia di euro ed è venduto su marketplace illegali. I criminali creano pagine con sistemi di verifica identici a quelli delle principali banche italiane e rubano dati come Pin o i codici Otp (One time password). I documenti raccolti vengono inviati a un secondo dominio, dove i dati personali e biometrici raccolti vengono abbinati a informazioni già rubate. Questo sistema di phishing permette di individuare la banca della vittima tramite il numero della carta fornito. In questo caso, i criminali possono monitorare e accedere in tempo reale ai conti correnti. Inoltre i ladri possono creare nuovi conti senza che il possessore se ne accorga o dia il proprio consenso.
Come riconoscere la truffa
Autostrade per l’Italia ha rilasciato alcune dichiarazioni riguardo la truffa che circola. L’azienda ha sottolineato a Corriere Login che sul proprio sito è presente una nota per aiutare gli utenti a riconoscere ed evitare una truffa messa in atto tramite sms o e-mail. Autostrade ha ricordato anche che i canali ufficiali per il pagamento dei “Rapporti di Mancato Pagamento del Pedaggio sono esclusivamente quelli pubblicati sul sito www.autostrade.it“. Qualora si cadesse trappola dei criminali è fondamentale bloccare quanto prima le proprie carte e cambiare le password.
