L’esca del bonus INPS: un nuovo attacco smishing

Security Awareness
20 Aprile 2020
Truffa-INPS
Truffa-INPS

Anche nel mese di aprile i lavoratori autonomi potranno richiedere il bonus INPS, un sostegno per le difficoltà dovute al Coronavirus.

Il bonus è stato avviato a partire dal mese di marzo, e fin dal principio si sono verificati alcuni problemi: il sito dell’Istituto è andato in tilt a seguito delle troppe richieste di accesso avvenute contemporaneamente, e sia la conferma dell’avvenuta domanda sia il bonifico hanno tardato ad arrivare rispetto ai tempi previsti.

Approfittando di questo ritardo, i criminali informatici hanno colto l’occasione per mettere in atto un attacco smishing a danno degli utenti dell’INPS.

Lo Smishing

La truffa è avvenuta con un attacco massivo di phishing, ma questa volta tramite messaggio. Da qui la parola smishing, termine che deriva dall’unione delle parole sms e phishing (pesca dei dati).

La segnalazione è stata diffusa dalla Polizia Postale e dallo stesso INPS, il quale mette in guardia gli utenti e li invita a diffidare da sms che contengono link. L’Istituto, infatti, utilizza questo canale solo per comunicazioni informative che non richiedono alcun tipo di risposta dall’utente.

La campagna di malware invita a cliccare su un link per aggiornare la propria domanda di indennità: il messaggio recita “A seguito della sua richiesta accredito domanda Covid-19. Aggiorna i tuoi dati nel inps-ixxxxx.online”.

Cliccando sul link però, si finisce in un sito che simula nel contenuto e nel formato quello dell’INPS, ma che di fatto scarica un file Apk (Application package, i file di installazione delle app Android), all’interno del quale si nasconde un malware.

Questo, una volta istallato sul cellulare, permette ai criminali di accedere al dispositivo e di impossessarsi dei dati sensibili. In questo modo i criminali cyber avranno modo di rubare password, credenziali, chiavi di accesso all’home banking ed altri dati privati.

Consigli e raccomandazioni

Purtroppo i criminali informatici sfruttano i momenti di crisi e di debolezza degli utenti per trarre un maggior vantaggio dalle truffe. Rispetto a questo periodo di emergenza sanitaria, qualora sia stata inviata la domanda per il bonus dell’INPS, è quindi bene ricordare, che:

  • L’INPS richiede informazioni rispetto ai dati sensibili soltanto attraverso il suo sito www.inps.it;
  • Qualora si dovessero ricevere delle mail dall’INPS rispetto al bonus, si tenga presente che queste non richiederanno altri dati ma si limiteranno a fornire:
    • Il numero identificativo della pratica
    • L’indicazione dell’indennità richiesta e dovuta, nel rispetto dei requisiti, per effetto dell’epidemia da Covid-19
    • Il nome dell’utente quale intestatario della domanda inoltrata online dal sito dell’Inps;
  • Mai collegarsi al sito utilizzando il link presente nel testo del messaggio, utilizzare invece il sito ufficiale dell’ente per verificare la bontà di quanto richiesto;
  • Non scaricare eventuali documenti o allegati;
  • Evitare in generale di fornire alcun tipo di dato personale, se non si è proprio sicuri del sito che li richiede;

In questo periodo di cambiamenti e difficoltà, la disattenzione o l’impreparazione da questo tipo di minaccia può costare caro.

Per saperne di più sulle tipologie di truffe di Phishing.

E’ utile inoltre ricordare che lo strumento di difesa più forte di fronte a questo tipo di truffe è quello di migliorare la propria consapevolezza rispetto alle minacce e ai rischi che si corrono utilizzando le tecnologie digitali.

Per questo Cyber Guru offre sia percorsi formativi aziendali mirati alla preparazione dei singoli dipendenti, sia percorsi di training anti-phishing per poter acquisire tutti gli strumenti necessari per lavorare in sicurezza e tutelarsi nel privato dalle sempre più ingegnose truffe.

ISCRIVITI ALLA NEWSLETTER

Articoli correlati