Settimana 46: Phishing con presunta restituzione d’imposta e phishing di portafogli di criptovalute

21.11.2023 - Anche la scorsa settimana sono stati segnalati all’NCSC numerosi casi di phishing. I clienti di fornitori di servizi di consegna, telefonia o trasporto sono spesso nel mirino dei truffatori. In questa retrospettiva settimanale vi presentiamo due tipi di phishing meno comuni.

Presunta restituzione d’imposta

Un’e-mail, come quella mostrata di seguito, informa che il destinatario ha diritto a un accredito (restituzione) d’imposta da parte dell’Amministrazione federale delle contribuzioni. Tuttavia, già il mittente desta sospetto perché il suo indirizzo e-mail non corrisponde agli indirizzi utilizzati dall’Amministrazione delle contribuzioni. E anche se non si conosce il dominio esatto dell’Amministrazione delle contribuzioni, è oramai noto che i servizi e i siti Internet della Confederazione utilizzano sempre il dominio admin.ch e non *.com.

E-mail fraudolenta a nome dell’Amministrazione delle contribuzioni
E-mail fraudolenta a nome dell’Amministrazione delle contribuzioni

Spostando il cursore del mouse sul link (senza cliccare), viene visualizzato l’URL a cui rinvia. Anche in questo caso l’URL, ovvero il dominio di destinazione, non presenta alcun collegamento con l’Amministrazione delle contribuzioni. Basta una sola di queste caratteristiche (il mittente o l’URL) per rivelare che si tratta di un tentativo di truffa.

Se si osserva più attentamente l’e-mail si nota che gli aggressori hanno commesso diversi errori:

  • l’Amministrazione delle contribuzioni non è né una Sagl né una SA;
  • un’eventuale restituzione d’imposta verrebbe corrisposta in franchi svizzeri e non in euro;
  • il registro linguistico utilizzato nel messaggio non corrisponde a quello utilizzato nelle comunicazioni ufficiali delle autorità.

Ma cosa succede se si clicca sul link? Si apre una pagina che imita il servizio «eIAM», ovvero il sistema di accesso e autorizzazione centrale dell’Amministrazione federale per le applicazioni web.

L’e-mail di phishing contiene un link verso un finto portale di accesso a eIAM.
L’e-mail di phishing contiene un link verso un finto portale di accesso a eIAM.

Tuttavia, questa è solo una fase intermedia. Dopo aver digitato l’indirizzo e-mail compare una maschera per inserire i dati della carta di credito. La procedura di autenticazione per accedere al vero servizio eIAM richiede almeno una password.

I truffatori tentano di ottenere i dati della carta di credito tramite una falsa maschera di accesso a eIAM.
I truffatori tentano di ottenere i dati della carta di credito tramite una falsa maschera di accesso a eIAM.

Per avanzare nel processo fraudolento è sufficiente inserire il numero della carta di credito e il codice CVV: ciò rivela le intenzioni degli aggressori.

Al più tardi a questo punto la potenziale vittima dovrebbe accorgersi dell’inganno: per una normale restituzione non si chiede mai il numero di una carta di credito, ma un numero IBAN (numero di conto).

I truffatori cercano di andare anche oltre. Per poter effettuare un addebito necessitano di un codice di conferma da parte del titolare legale della carta, che spesso viene trasmesso sul cellulare di quest’ultimo tramite SMS. Anche questo codice viene chiesto subito dopo.

 Gli aggressori hanno creato un modulo supplementare per sottrarre anche questo secondo fattore di autenticazione.

Gli aggressori hanno creato un modulo supplementare per sottrarre anche questo secondo fattore di autenticazione.

Se la vittima inserisce tutti i dati richiesti, gli aggressori ottengono il controllo della carta di credito e possono effettuare acquisti a suo nome.

Phishing di portafogli di criptovalute

La scorsa settimana sono circolate anche e-mail a nome del fornitore di servizi finanziari Swissquote. Per presunti motivi di sicurezza è stato inviato un link con l’invito a collegare il proprio portafogli di criptovalute con l’istituto finanziario.

Anche nel presente caso, un’occhiata all’URL rivela che il link non rinvia a Swissquote.
Se si clicca sul pulsante «Connetti» si apre un menu con una selezione di fornitori di servizi per le cripto-attività.

A sinistra: finto sito di Swissquote, a destra: tentativo di collegamento con il portafoglio della vittima
A sinistra: finto sito di Swissquote, a destra: tentativo di collegamento con il portafoglio della vittima

L’obiettivo degli aggressori è di accedere ai contenuti del portafoglio dell’utente. A tal fine chiedono la cosiddetta «seed phrase», chiamata anche «frase mnemonica». Si tratta di una sequenza di 12 o 24 parole casuali che consente all’utente di accedere al proprio portafoglio anche in caso di perdita della chiave privata. Pertanto, questa «seed phrase» dovrebbe essere conservata in un luogo sicuro e non essere consegnata a nessuno. La «seed phrase» di un utente consente agli aggressori di accedere al portafoglio della vittima e quindi di impossessarsi delle sue criptovalute.

Nessun istituto finanziario chiederà mai di rivelare questa «seed phrase».
Nessun istituto finanziario chiederà mai di rivelare questa «seed phrase».

Consigli per riconoscere messaggi di phishing

In generale, non inserite mai password, codici o dati della carta di credito su un sito aperto tramite un link contenuto in un’e-mail o in un SMS.

Nella maggior parte dei casi, per riconoscere questo tipo di messaggi è sufficiente concentrarsi sulle caratteristiche più comuni. Con un minimo di attenzione, bastano pochi secondi per smascherare un’e-mail di phishing.

  1. L’indirizzo e-mail del mittente: purtroppo può essere falsificato facilmente. Nelle e-mail legittime il dominio dell’indirizzo nel campo del mittente deve corrispondere con i dati di contatto, spesso indicati in fondo al messaggio.
  2. Il link di phishing: il nome visualizzato può essere ingannevole, ma spostando il cursore del mouse sul link (senza cliccare), si vede dove il link rinvia effettivamente. Evitate di cliccare sul link se è chiaro che il dominio non è legato al mittente.
  3. Aspetti linguistici e grafici: loghi finti o utilizzati in modo improprio, formule di apertura o di saluto strane, eventualmente un mix di lingue e di incongruenze stilistiche – tutto ciò indica che le intenzioni del mittente non sono legittime.

Altri consigli

  • Esaminate il messaggio concentrandovi sui tre punti menzionati più sopra.
  • Non inserite mai password, codici o dati della carta di credito su un sito aperto tramite un link contenuto in un’e-mail o in un SMS.
  • Non comunicate mai codici ricevuti per messaggio.
  • Se qualcuno volesse versare del denaro sul vostro conto, vi chiederà l’IBAN, ma mai il numero della vostra carta di credito.
  • Se avete dubbi in merito a una richiesta chiedete direttamente al fornitore di servizi interessato. A tal fine non utilizzate il numero di telefono indicato nell’e-mail o nell’SMS, ma cercate il numero corretto online.
  • Il messaggio di phishing può essere segnalato all’NCSC (https://www.report.ncsc.admin.ch/).
  • Se avete fornito i dati della carta di credito, contattate immediatamente l’emittente per farla bloccare.
  • In caso di danni finanziari denunciate il fatto alla polizia cantonale.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 21.11.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/wochenrueckblick_46.html