Attenzione a chi promette di aggiornare o sbloccare la tessera sanitaria: è appena stata scovata una nuova campagna di phishing che punta proprio su questo documento per raggirare i cittadini. L’obiettivo è sempre lo stesso, cioè mettere le mani su dati sensibili e informazioni relative ai metodi di pagamento, facendo leva su qualcosa che tutti abbiamo in tasca e che consideriamo affidabile. A dare l’allarme è stato il Ministero della Salute, con un avviso diffuso nel fine settimana che riprende quanto segnalato dal Computer Emergency Response Team dell’Agenzia per l’Italia Digitale.
Non è una novità assoluta, purtroppo. La tessera sanitaria è diventata negli ultimi tempi una delle esche preferite dai truffatori online, proprio perché tocca un servizio essenziale e genera un senso di urgenza in chi riceve il messaggio. Ed è esattamente su questo che contano i malintenzionati.
Come funziona la truffa passo dopo passo
La meccanica è quella collaudata, vista già decine di volte. Prima fase: la potenziale vittima riceve una comunicazione fraudolenta che la invita ad aprire un link. Può arrivare via SMS oppure tramite email, perché i canali usati dai cybercriminali sono diversi e si adattano a seconda della campagna. Il messaggio ha un tono ufficiale, sembra provenire da un ente pubblico, e proprio per questo riesce a trarre in inganno una parte di chi lo legge.
Chi ha organizzato questa campagna di phishing mette in conto che non tutti abboccheranno. La strategia si basa sulla legge dei grandi numeri: bastano poche persone poco attente su migliaia di destinatari per rendere l’operazione redditizia. E considerando quanto insistono questi attacchi, il metodo evidentemente continua a portare risultati.
Qualche segnale sospetto, però, si nota anche a occhio nudo. Basta guardare con un minimo di attenzione l’indirizzo del link per accorgersi che c’è qualcosa che stona, a partire da alcune parole scritte in modo strano dentro l’URL. Sono proprio quei dettagli, apparentemente insignificanti, a smascherare la truffa. Un errore ortografico nell’indirizzo web, un dominio che non ha nulla a che vedere con i portali ufficiali della sanità pubblica, sono campanelli d’allarme che è bene imparare a riconoscere.
Cosa fare per non cadere nella trappola
La regola d’oro resta sempre la stessa: mai cliccare su link ricevuti tramite messaggi non richiesti. Se arriva una comunicazione che riguarda la tessera sanitaria e chiede di inserire dati personali o informazioni di pagamento, conviene fermarsi un attimo e diffidare. Gli enti pubblici, di norma, non chiedono questo tipo di dati con un semplice SMS o una mail.
Nel caso della pagina fraudolenta individuata in questi giorni, l’indirizzo di destinazione risulta ancora attivo, motivo per cui la prudenza è ancora più necessaria. Chi ha dubbi su una comunicazione ricevuta può sempre verificare direttamente sui canali ufficiali del Ministero della Salute o dei servizi sanitari regionali, senza passare per i link contenuti nei messaggi sospetti.
Il consiglio più pratico è controllare sempre il mittente, l’indirizzo web completo e la presenza di errori grammaticali o di battitura. Sono proprio questi i dettagli che distinguono una comunicazione autentica da un tentativo di truffa online. E ricordarsi che, quando qualcosa arriva con toni allarmistici e inviti a “sbloccare” o “aggiornare subito” la propria posizione, quasi sempre nasconde un raggiro.