C’è una nuova ondata di phishing via PEC che sta mettendo in difficoltà anche gli utenti più smaliziati, e a segnalarla è stata direttamente l’Agenzia delle Entrate. La cosa curiosa, e anche piuttosto preoccupante, è che questa volta i truffatori hanno scelto un canale che tutti consideriamo blindato. La posta elettronica certificata, infatti, ha sempre avuto la fama di essere affidabile. È tracciata, ufficiale, arriva da mittenti identificati. Ed è proprio questa fiducia che i criminali stanno sfruttando.
Il trucco è tanto semplice quanto efficace. I messaggi non arrivano da indirizzi fasulli creati ad arte, ma da caselle PEC reali ma compromesse. Significa che il mittente è una persona o un’azienda vera, magari qualcuno con cui si hanno rapporti di lavoro. Difficile, in queste condizioni, drizzare le antenne.
Come funziona la finta fattura
Il contenuto del messaggio è una finta fattura. L’obiettivo è spingere il destinatario ad aprire un archivio compresso, dentro al quale si nasconde un file HTML. Qui c’è un dettaglio interessante, perché l’attacco è studiato per colpire soltanto chi usa Windows. Su altri sistemi operativi compare un banale messaggio d’errore, segno che dietro non c’è nulla di casuale ma una precisa strategia.
Aprendo il file su un PC con Windows appare un pulsante che invita a scaricare la presunta fattura. E qui sta la parte più subdola. Il link non si vede direttamente nel documento, salta fuori solo passando il cursore sopra il pulsante. Un accorgimento pensato apposta per ingannare anche chi ha l’abitudine sana di controllare gli URL prima di fare clic. Una volta cliccato, la vittima finisce su un sito malevolo che avvia il download e l’esecuzione di script PowerShell, capaci di prendere il controllo dell’intero dispositivo.
Il vero punto debole, alla fine, siamo noi. Vedere un indirizzo certificato come mittente abbassa la guardia, fa scattare quella fiducia istintiva che porta ad agire d’impulso. E quando dietro c’è il nome di qualcuno che conosciamo davvero, riconoscere la trappola diventa quasi impossibile.
Le precauzioni suggerite dall’Agenzia delle Entrate
Per difendersi da questa campagna di phishing, l’Agenzia delle Entrate ha messo nero su bianco alcuni consigli pratici. Il primo è non aprire allegati sospetti o inattesi, nemmeno quando arrivano via PEC. Poi conviene eliminare subito i messaggi che invitano a scaricare fatture che non si riconoscono. E ancora, mai cliccare su pulsanti o link contenuti in file ricevuti senza avere la certezza assoluta del mittente.
In caso di dubbio il suggerimento è chiaro, ovvero consultare la sezione “Focus sul phishing” presente sul sito ufficiale dell’Agenzia delle Entrate, oppure contattare i canali di assistenza dedicati prima di compiere qualsiasi azione.
Non è certo la prima volta che i criminali informatici fanno leva sulla fiducia in un canale istituzionale. Chi ci è già cascato, o ci è andato vicino, sa bene quanto sia facile farsi fregare da un messaggio dall’aria perfettamente ufficiale. La regola d’oro, in fondo, resta sempre quella, ovvero fermarsi un attimo di fronte a una richiesta inattesa, anche se arriva via PEC, prima di mettere mano al mouse e cliccare.