Oggi segnaliamo due nuovi tentativi di phishing, riportati da Helpconsumatori.it.
È in corso una nuova campagna di phishing che fa ricorso in modo fraudolento al nome di Autostrade per l’Italia per cercare di carpire dati personali.
La comunicazione arriva direttamente da Autostrade che sta avvisando i clienti di recenti tentativi di phishing volta a ottenere informazioni personali, compresi i dati della carta di credito. In una comunicazione Autostrade per l’Italia spiega che “alcuni Clienti potrebbero ricevere o aver ricevuto SMS o email ingannevoli che sembrano provenire da Autostrade per l’Italia, ma che in realtà sono truffe orchestrate da malintenzionati. Si invita pertanto a prestare la massima attenzione prima di cliccare su qualsiasi link, verificando sempre con cura il mittente, in particolare la presenza di eventuali alterazioni di una o più lettere nell’indirizzo web (es. autostrede o autostiade)”. Il canale ufficiale per il pagamento online dei Rapporti di Mancato Pagamento del Pedaggio è il sito www.autostrade.it.
Un’ondata di attacchi di phishing ha colpito a metà ottobre i clienti di ING in diverse regioni italiane. In molti casi le vittime hanno ricevuto SMS che sembravano provenire dall’istituto bancario, perché inseriti nella stessa chat dei messaggi autentici della banca. Gli avvisi segnalavano presunte “operazioni sospette” o “movimenti non autorizzati”, invitando i clienti a verificare la loro identità o a bloccare la transazione. Pochi minuti dopo, numerosi utenti hanno ricevuto anche una telefonata da un numero verde apparentemente riconducibile a ING, con un falso operatore che cercava di accreditarsi come assistenza ufficiale.
La trappola: SMS e telefonate coordinate
Il meccanismo della truffa è apparso particolarmente sofisticato. A differenza del classico phishing via e-mail, i truffatori hanno sfruttato la tecnica dello spoofing, ovvero la manipolazione del numero mittente per far apparire l’SMS e la chiamata come provenienti da fonti affidabili. Molti clienti, pur non avendo mai comunicato PIN, password o codici OTP, hanno scoperto successivamente bonifici partiti dai propri conti, spesso per somme di diverse migliaia di euro, dirette a beneficiari sconosciuti. Le modalità ricorrenti e l’elevata capacità di imitazione fanno pensare a un gruppo organizzato e coordinato, in grado di aggirare in qualche modo le misure di sicurezza bancarie.
Ipotesi su una falla di sistema
Le segnalazioni arrivate nelle stesse ore e con caratteristiche analoghe fanno ipotizzare che l’attacco possa aver sfruttato una vulnerabilità o un aggiramento dei protocolli di sicurezza. In alcuni casi, le operazioni fraudolente di phishing sembrano essere state disposte senza l’inserimento di codici di conferma da parte dei clienti, un elemento che fa sospettare un possibile accesso illecito ai canali di autenticazione. Le autorità competenti e l’istituto bancario stanno verificando le segnalazioni, mentre le associazioni dei consumatori chiedono trasparenza e tutela per i correntisti coinvolti.
