Ti arriva una mail per aggiornare lo Spid ma è una truffa: come riconoscerla
In queste ultime settimane si è parlato molto di Spid. Da quando infatti Poste Italiane ha annunciato che il suo Spid è diventato a pagamento a partire dal secondo anno di attivazione, molti utenti si sono informati sia sulle motivazioni di questa novità, ma anche su quali sono gli Identity Provider che ancora rilasciano lo Spid senza richiedere nessun tipo di costo o su quali alternative gratuite allo stesso Spid (Sistema Pubblico di Identità Digitale).
Probabilmente anche i cybercriminali hanno intercettato questa ondata di interesse verso lo Spid e hanno deciso di sfruttarlo in una nuova campagna di phishing. La truffa consiste inizia infatti con una mail che sembra arrivare proprio dall'Agenzia per l'Italia digitale (AgID) in cui si dice all'utente di aggiornare i suoi dati per non perdere lo Spid. Per farlo è necessario utilizzare un portale a cui si accede direttamente da un link (ovviamente fake) interno alla mail.
Come funziona la nuova truffa
La nuova campagna di phishing che sfrutta il nome, il logo, ma anche le grafiche del portale ufficiale dello Spid è stata segnalata dal Cert-AgID in un comunicato sul suo sito ufficiale. La sigla sta per "Computer Emergency Response Team – Agenzia per l'Italia Digitale" e infatti indica il team di esperti dell'AgID che si occupa della cybersicurezza nella Pubblica Amministrazione.
La truffa ricalca uno schema ormai noto, lo stesso utilizzato nelle scorse settimane nella truffa della tessera sanitaria in scadenza. Arriva una mail che già dall'oggetto viene presentata come estremamente urgente e importante. Il Cert-AgID riporta esempi come "Importante: Conferma i tuoi dati SPID" oppure "Verifica richiesta per la tua identità digitale". Il testo della mail è molto ingannevole, in quanto esorta l'utente a verificare con cadenza regolare i propri dati "per garantire la continuità dei servizi" ed "elevati livelli di sicurezza e affidabilità del sistema".
Attenzione ai portali fake
Nella mail si dice all'utente che per farlo deve solo accedere al portale e controllare i suoi dati personali. In realtà – spiegano gli esperti del Cert-AgID – il link porta a una pagina fraudolenta che però è molto simile a quella ufficiale. È qui che la vittima è spinta a fornire i propri dati, come nome, cognome, data di nascita, mail, numero di telefono e perfino informazioni bancarie come IBAN e la propria banca.
Tuttavia, una volta inserite queste informazioni sensibili, il portale non chiede altri dati come le credenziali del conto corrente. Per questo è verosimile pensare che l'obiettivo della truffa sia quello di rubare informazioni personali da utilizzare in altri tentativi di phishing, per attuare furti d'identità o per rivendere i dati ad altre reti criminali.
Attualmente il Cert-AgID ha chiesto che venga disattivata la pagina che ospita il portale fraudolento, ma intanto raccomanda la massima prudenza nel caso in cui si ricevano mail di questo tipo, soprattutto se sono presenti all'interno link diretti. Un altro consiglio sempre utile in questi casi è verificare non tanto il nome del portale indicato sulla pagina web (ormai i cybercriminali riescono a imitare gli originali in modo davvero fedele) ma l'URL della pagina, che potete leggere direttamente nella stringa in alto, e confrontarlo con quello del portale ufficiale. Se è una truffa i due siti non coincideranno. In ogni caso, non date mai i vostri dati sensibili, come quelli relativi al vostro conto corrente, se la richiesta arriva da mail o messaggi di provenienza dubbia.
