6.422 views 8 min 0 Comment

Phishing, smishing e come evitarli: la truffa dal sms “Posteinfo”

- 14/04/2021
phishing posteinfo


Vi abbiamo parlato, nello scorso mese di febbraio, della truffa relativa al phishing bancario che si attiva con l’invio di un link tramite e-mail o sms proveniente dallo stesso numero/account della banca di cui siete correntisti.

Questa truffa, purtroppo, è da tempo diffusa anche per chi ha sottoscritto una carta di debito con Poste Italiane, come Postepay e Postepay Evolution, o chi utilizza una carta BancoPosta.

Riceviamo e pubblichiamo la testimonianza di un lettore che è stato vittima di smishing (truffa che si attiva tramite sms) poche settimane fa e che ha sporto denuncia contro ignoti, nella speranza che la sua esperienza possa essere utile a quanti ricevano sms particolari.

sms truffa

Gentile redazione,
vi porto a conoscenza di una truffa di cui sono stato vittima a fine marzo molto ingenuamente.

Sono titolare di una PostePay Evolution come centinaia di migliaia di italiani, una carta che, associata a un IBAN mi permette di inviare e ricevere bonifici in maniera molto comoda, e dove deposito alcuni miei risparmi per gli acquisti on-line. Sono stato sempre molto accorto nella gestione dei tentativi di phishing, soprattutto tramite e-mail, in cui falsi mittenti chiedono di inserire dati sensibili per sottrarre ai destinatari importi di denaro anche consistenti. Le e-mail di solito le cestino direttamente, purtroppo questa volta mi è capitato di dare seguito alle indicazioni di un sms.

Il sms ricevuto proveniva da un account Posteinfo che, come vedete da immagine allegata, spesso mi invia codici temporanei per accedere a PosteId e one-time-password (OTP) per procedere ai miei acquisti online e per effettuare alcune operazioni nel mio account di poste.

Il sms mi avvertiva della “limitazione” della mia PostePay Evolution, che avrei potuto riattivare convalidando alcuni dati all’indirizzo postepay-secure.online. Come vedete, si tratta di un link assolutamente credibile rispetto a molti altri.

L’intestazione Posteinfo, insieme all’indirizzo internet di cui sopra, mi hanno convinto erroneamente della buona fede del messaggio, e così ho cliccato. Vi dico sin d’ora che, se vi capita di ricevere un sms del genere, cestinatelo immediatamente!

Aprendo il link, mi sono ritrovato in una pagina del tutto uguale a quella che avrei potuto trovare su poste.it, con gli stessi colori bianco, blu e giallo e lo stesso font. Con una scusa (la fusione tra i conti PostePay e BancoPosta, ovviamente un espediente del tutto falso), un alert mi invitava a convalidare alcuni dati e a NON IGNORARE la richiesta.

Ho così inserito sia nome utente e password del mio account di poste.it sia nome, cognome, numero di telefono, numeri della carta e saldo disponibile del mio conto. Mi è sorto qualche dubbio leggendo “Il tuo nome” e non semplicemente “Nome”, ma non ci ho badato più di tanto. Ho cliccato su convalida e mi è apparsa una schermata in cui mi si avvisava di una anomalia da risolvere, e che sarei stato contattato telefonicamente entro dieci minuti.

Mi è venuto in mente in quel momento di avere sbagliato un dato della carta (per fortuna!), e per questo ho cercato di rientrare nel sito, ma mi è apparsa una schermata del browser google chrome in cui mi si invitava a NON accedere perché erano state segnalate attività di phishing.

Alert di Google Chrome

A quel punto mi si è accesa una lampadina, e ho capito di essere stato truffato. Ho fatto brevemente una ricerca su google per confermare la mia tesi, e prima che potessero chiamarmi ho controllato tramite la mia app PostePay che il mio saldo (svariate centinaia di euro) fosse ancora integro. Ho poi telefonato al num verde 800.003.322. In pochi semplici passi, seguendo le indicazioni della voce elettronica, ho bloccato la mia carta PostePay Evolution. Subito dopo ho modificato la password del mio account Poste.it

Poco dopo mi è giunta una telefonata da un numero con prefisso 011 in cui un sedicente operatore di nome Marco, identificatosi con un codice operatore fasullo, mi comunicava preoccupato di aver ricevuto un alert e di avere bisogno di alcune informazioni. Quando gli ho detto di aver bloccato la carta e che erano dei truffatori, mi ha chiuso il telefono in faccia.

Per fortuna nessuno ha toccato i miei soldi perché mi sono accorto in tempo della truffa, ma ho rischiato veramente grosso! Spero che questa testimonianza possa servire a quanti ricevono sms di questo tipo da PosteInfo, non ci cascate!

Consigli utili per evitare smishing

La testimonianza del nostro lettore ci spinge a darvi qualche consiglio da seguire per non cascare nella rete del phishing

  • Anche se ricevete sms da account che credete sicuri, NON aprite MAI link diretti a indirizzi internet direttamente dal messaggio;
  • In NESSUN CASO Poste vi comunicherà via sms che il vostro conto o la vostra carta di debito ha subito delle limitazioni;
  • Non comunicate MAI al telefono codici di accesso, OTP (OneTimePassword), password del vostro account poste, codice fiscale o i codici delle vostre carte;
  • Le comunicazioni inerenti alle vostre carte Poste saranno ricevute nella casella di Posta del vostro account poste.it;
  • L’unico indirizzo che fa capo a Poste Italiane è POSTE.IT, diffidate da tutti i siti che non contengono questa parte di url, anche se citano in vario modo “bancoposta”, “postepay”, “infoposte” o derivati;
  • Non inserite MAI nome utente e password del vostro account personale di Poste in siti diversi da Poste.it, a meno che non lo chiedano app ufficiali facenti capo a Poste Italiane;
  • Controllate sempre l’ultimo accesso nella sezione personale di Poste.It e se pensate di avere qualche dubbio, cambiate la password (che è bene modificare almeno una volta al mese);
  • Fate in modo di confermare ogni attività della vostra carta PostePay o PostePay Evolution tramite app o con l’utilizzo di una OneTimePassword che viene comunicata di volta in volta via sms. In particolare, l’app PostePay offe la possibilità di ricevere notifiche sul cellulare in tempo reale per ogni operazione effettuata;

Trovate maggiori informazioni sul sito di Poste Italiane.

Cosa fare dopo aver subito la truffa?

Segnalate alla polizia postale il link della truffa e recatevi quanto prima ad un commissariato di polizia (o dai carabinieri) per effettuare denuncia contro ignoti, dotati del codice blocco che vi verrà dato dal numero verde (solitamente composto dal codice fiscale + la data di blocco). Esponete il vostro problema e il personale incaricato vi spiegherà cosa fare.

In caso di perdite di denaro consistenti, rivolgetevi al vostro legale.

<hr>Condividi: