Gli autori del raggiro puntano a «sottrarre le credenziali di posta elettronica» dei destinatari. Guai dunque a scaricare i file ricevuti
Un’email che sembra provenire da un dominio istituzionale (gov.it). Un pdf denominato «FatturaAgenziaEntrate». Un forte senso d’urgenza dovuto alla dicitura «Scade oggi». Elementi che sembrano contraddistinguere un’importante comunicazione istituzionale, ma non sono altro che le insidie di una nuova truffa informatica veicolata tramite il meccanismo del phishing, tecnica che consiste nell’inviare alle vittime un messaggio contraffatto e, attraverso l’indebito utilizzo del nome e/o del logo del presunto mittente – banche, aziende o per l’appunto istituzioni –, convincerle a rivelare dati riservati o a compiere una determinata azione.
L’avviso ufficiale
A mettere in guardia gli utenti nei confronti del raggiro è stata proprio l’Agenzia delle Entrate, sottolineando in una nota pubblicata venerdì come l’obiettivo dei suoi autori sia quello di «sottrarre le credenziali di posta elettronica» dei destinatari. Più nel dettaglio, l’email in questione proviene da un indirizzo chiamato amministrazione@cert.gov.it (che, a dispetto del nome, non è in alcun modo collegato alla Pubblica Amministrazione) e simula l’identità digitale del popolare servizio di condivisione file WeTransfer. Ebbene: a quel punto, «cliccando sul pulsante “Scarica i file” – si legge –, la vittima viene dirottata su una risorsa malevola sotto il controllo degli attaccanti». Chiaro dunque come seguire le istruzioni finisca per garantire ai cybercriminali pieno accesso alla propria casella di posta elettronica, con enormi rischi per la privacy soprattutto in presenza di messaggi contenenti dati sensibili.
Come difendersi
Non è la prima volta che il nome dell’ente diretto da Vincenzo Carbone viene illegalmente sfruttato per architettare truffe basate sul phishing: era già accaduto per esempio più volte l’anno scorso, nonché in quest’ultimo mese di agosto. Anche in questo caso, quindi, la struttura controllata dal Mef si è dichiarata «totalmente estranea» a questo tipo di comunicazioni e ha raccomandato di «non cliccare sui link in esse presenti, di non scaricare, aprire e compilare eventuali allegati, di non fornire credenziali d’accesso, dati personali e le coordinate bancarie in occasione di eventuali telefonate legate a questo tipo di fenomeni e di non ricontattare assolutamente il mittente».
Il vademecum digitale
In caso di dubbi, comunque, proprio su www.agenziaentrate.gov.it è consultabile una preziosa pagina di consigli su come difendersi dal phishing. Tra questi, «chiedersi se il messaggio proviene da un mittente noto», verificare «se è scritto in italiano corretto», «diffidare dei link accorciati (ad esempio quelli di tipo bit.ly)» e, se ci sono allegati, «controllare che abbiano una sola estensione (ad esempio .docx e non .docx.exe)». Soprattutto, però, come ripetutamente comunicato in passato, «l’Agenzia non manda mail di questo tipo né chiede mai di comunicare informazioni riservate come le proprie credenziali». È fondamentale tenerlo a mente.
Per non perdere le ultime novità su tecnologia e innovazione
iscriviti alla newsletter di Login
8 settembre 2025 ( modifica il 8 settembre 2025 | 18:09)
© RIPRODUZIONE RISERVATA