La nuova truffa PostePay utilizza il vecchio metodo del phishing che, nonostante i numerosi casi, rimane tuttora un una truffa che colpisce migliaia di utenti ogni anno.

Invece della solita email, questa volta la truffa arriva con un messaggio sul telefonino (al momento è stato segnalato solo da clienti Tim, Wind, Tre e Vodafone) che può essere un caro vecchio SMS o un messaggio WhatsApp.

Il mittente del messaggio appare come Poste Italiane, mentre il testo del messaggio è: “Gentile cliente, se non visualizzi correttamente il messaggio segui il link…” (omettiamo per ovvie ragioni di riportare qui la url).

L’utente a questo punto clicca sul link e finisce in una pagina fake che riproduce nei minimi dettagli il sito delle Poste Italiane, ma naturalmente ne è solo la copia: stessi colori, stesso tipo messaggi e logo identico. Subito dopo il caricamento della pagina, appare un alert il cui messaggio è “Gentile cliente, il tuo conto è stato momentaneamente sospeso per motivi di sicurezza. Per poter ripristinare la completa funzionalità del tuo conto, dopo aver effettuato l’accesso ti verrà chiesto di immettere alcuni dati per confermare la tua identità” con tanto di “nota bene” in cui si consiglia l’utente di non saltare questo passaggio, così da sbloccare il conto più rapidamente.

A questo punto l’utente che clicca sul bottone “Procedi” si ritroverà su una pagina che replica nel dettaglio la pagina di login ufficiale delle Poste Italiane. Una volta inseriti i dati di accesso la truffa è in atto. A questo punto i malintenzionati avranno tutto il tempo di procedere prosciugando in poco tempo il conto. 

Ecco cosa devi sapere per non cadere nel phishing:

1. Tutte le banche, compresa Poste Italiane, non richiedono mai le credenziali per telefono e tantomeno via SMS o WhatsApp
2. I conti bancari, postali e le carte di credito (ricaricabili e non) non possono essere bloccati per motivi di sicurezza. In caso di problemi che richiedono un’attenzione speciale, il titolare viene contattato telefonicamente e gli viene richiesto di recarsi direttamente in banca o alle poste;
3. Ogni volta che si accede a un sito in cui sono richiesti i dati di accesso all’area riservata, bisogna sempre assicurarsi che nell’indirizzo web sia presente il suffisso “https://”;
4. Prima di aprire un’email sospetta, cliccare su link strano ricevuto via messaggio o email e soprattutto prima di inserire i dati di accesso dell’home banking in pagine che non hanno il solito indirizzo web, è bene chiamare subito il servizio clienti e assicurarsi che tutto sia regolare;