Lo SPID è entrato a far parte della vita quotidiana di un numero sempre più alto di italiani. In particolare nelle ultime settimane la registrazione e l’utilizzo del Sistema Pubblico di Identità Digitale (SPID) ha subito un sensibile incremento, grazie anche all’introduzione del Cashback di Stato che però, è solo uno dei numerosi servizi per cui è necessaria l’autenticazione mediante questo sistema. La sua crescente popolarità ha subito attratto l’attenzione dei truffatori informatici, con conseguente comparsa di campagne di phishing e malware indirizzate proprio agli utenti in possesso di SPID.
La campagna phishing diretta agli utenti SPID di Poste Italiane
CERT-AGID ha diramato un comunicato circa su una nuova campagna di phishing ai danni degli utenti di Poste Italiane che utilizza proprio lo SPID come esca.
Il messaggio arriva tramite email e ha come oggetto: Poste Italiane – PosteID abilitato a SPID – Data: 11/12/2020
Il testo dell’e-mail è questo:
“Gentile Cliente,
Ti comunichiamo la modifica delle Condizioni Generali del Servizio di Identità Digitale “PosteID abilitato a SPID” nella nuova versione.
Cosa cambia per te?
Il servizio base, cosi come descritto nelle Condizioni Generali del Servizio, è gratuito per le persone fisiche. Non ci sono modifiche per quanto riguarda le funzionalità e l’utilizzo dell’Identità Digitale. Eventuali future modifiche alle Condizione Generali del Servizio saranno rese note ai Titolari, con congruo anticipo, tramite apposita informativa sul Sito o in Bacheca o con ulteriori canali o modalità che Poste ritenesse di adottare.
Non puoi più utilizzare la tua carta PostePay se non accetterai le modifiche contrattuali. Inoltre abbiamo bisogno della tua collaborazione, dovrai aggiornare le informazioni del tuo profilo online entro 48 ore dalla ricezione di questa comunicazione.”
Per evitare il blocco della carta PostePay, l’utente è invitato a seguire un link contenuto nell’email che lo fa atterrare su un sito che è l’esatta copia della pagina di login di Poste Italiane.
I domini utilizzati in questa campagna di phishing finora individuati da CERT AGID sono stati bloccati, ma purtroppo ne nascono di nuovi continuamente. Per evitare di cadere in questa truffa, l’unico modo è non cliccare mai sui link contenuti nelle email inaspettate (anche se nella url compare il lucchetto che dovrebbe indicare che il sito è sicuro) e, nel dubbio, andare sul sito ufficiale o chiamare il numero verde.
