Una nuova ondata di phishing sta prendendo di mira i contribuenti italiani, sfruttando in modo fraudolento l’immagine dell’Agenzia delle Entrate e dell’Agenzia per l’Italia Digitale. Le email truffa sono tornate in azione con una campagna particolarmente insidiosa, capace di eludere i filtri antispam attraverso un bug tecnico dei sistemi di posta elettronica. I malintenzionati inviano messaggi apparentemente ufficiali che riproducono con precisione grafica, linguaggio e struttura delle comunicazioni istituzionali. L’obiettivo è sempre lo stesso: carpire le credenziali di accesso alla posta elettronica delle vittime o, peggio ancora, dati sensibili come numeri di carte di credito e informazioni bancarie.
Ma cosa rende questa campagna particolarmente pericolosa? Il difetto tecnico sfruttato dai cybercriminali permette al messaggio malevolo di essere identificato correttamente come spam solo per i primi tre destinatari. Tutti gli invii successivi riescono invece a superare i controlli di sicurezza e a raggiungere la casella di posta principale degli utenti. Questo significa che è sufficiente reinviare ripetutamente lo stesso messaggio per aggirare le protezioni. La cura dei dettagli con cui vengono confezionate queste email è impressionante. Grafica professionale, tono formale tipico della pubblica amministrazione, loghi ufficiali: tutto è studiato per creare un’illusione di autenticità. Persino il display name, cioè il nome visualizzato accanto all’indirizzo email del mittente, può riportare diciture come Agenzia delle Entrate o AgID, ingannando facilmente chi non è particolarmente esperto di tecnologia.
Eppure, esistono segnali inequivocabili che permettono di smascherare la truffa. Il primo e più importante è l’indirizzo email del mittente. Nelle recenti campagne di phishing sono stati rilevati domini completamente estranei alle istituzioni coinvolte, come propiski.com o altri indirizzi che nulla hanno a che vedere con i domini ufficiali dell’Agenzia delle Entrate. Lo stesso vale per i link contenuti nel corpo del messaggio. Passando il mouse sopra i collegamenti presenti nell’email, senza cliccarci, è possibile visualizzare l’indirizzo web di destinazione. Se questo punta a domini sospetti o sconosciuti, come sushicool.net citato in uno degli esempi recenti, si tratta certamente di una truffa.
Una volta che la vittima cade nella trappola e clicca sul link, viene reindirizzata verso una pagina di login contraffatta che riproduce elementi grafici familiari, come il logo di AgID o riferimenti al sistema Spid. L’interfaccia è studiata per sembrare credibile e indurre l’utente a inserire le proprie credenziali. Quando i dati vengono inseriti e confermati, questi vengono immediatamente trasmessi ai cybercriminali. Per evitare che la vittima si insospettisca troppo rapidamente, viene poi reindirizzata al sito legittimo dell’Agenzia delle Entrate-Riscossione attraverso una richiesta volutamente errata, simulando un malfunzionamento tecnico temporaneo del sistema.
Il phishing non rappresenta solo un furto di credenziali. Le tecniche utilizzate possono servire a mettere in atto attacchi ancora più pericolosi. Alcune campagne sfruttano lo stesso schema per convincere gli utenti ad aprire allegati infetti, generalmente file Excel protetti da password che contengono malware. Questi software malevoli possono prendere il controllo del computer, installare ransomware per estorcere denaro o rubare informazioni sensibili archiviate sul dispositivo. Un esempio particolarmente insidioso coinvolge false comunicazioni relative a presunte fatture non dichiarate. L’email, proveniente da una fantomatica Divisione Indagine dell’Agenzia delle Entrate, fa riferimento a una citazione fiscale e invita a cliccare su un link per visualizzare i dettagli. Il collegamento porta a una pagina contraffatta ospitata su un dominio molto simile a quello istituzionale, dove vengono offerti in download documenti Excel malevoli.
Come difendersi da queste minacce? La prima regola è la prudenza. L’Agenzia delle Entrate comunica ufficialmente attraverso canali ben precisi e non richiede mai l’inserimento di credenziali o dati sensibili tramite link presenti in email. In caso di dubbio, la cosa migliore è non cliccare su alcun collegamento e non aprire allegati. È fondamentale verificare sempre l’indirizzo del mittente, controllando che il dominio corrisponda effettivamente a quello istituzionale. Per l’Agenzia delle Entrate, il dominio ufficiale è agenziaentrate.gov.it: qualsiasi altra variante, anche se apparentemente simile, deve essere considerata sospetta.
Sul sito istituzionale dell’Agenzia esiste una sezione dedicata chiamata Focus sul phishing dove vengono pubblicate tempestivamente le segnalazioni relative alle nuove campagne di attacco in corso. Consultare periodicamente questa pagina permette di rimanere aggiornati sulle minacce più recenti e di riconoscere le truffe prima di caderne vittima. In caso di ricezione di email sospette, il consiglio è di cestinarle immediatamente senza interagire con il contenuto. Se si hanno dubbi sulla legittimità di una comunicazione ricevuta, è sempre possibile contattare direttamente l’ufficio territorialmente competente attraverso i canali ufficiali pubblicati sul portale dell’Agenzia.
La tecnica del phishing, il cui nome deriva dall’inglese fishing ovvero pescare, funziona proprio come la pesca a strascico: si getta una rete il più ampia possibile nella speranza di catturare qualche preda. La distribuzione massiccia di email fraudolente fa leva sulla legge dei grandi numeri: anche se la percentuale di successo è bassa, su milioni di messaggi inviati ci sarà sempre qualcuno che abboccherà. La consapevolezza resta l’arma più efficace contro queste minacce. Conoscere i meccanismi del phishing, saper riconoscere i segnali di allarme e adottare comportamenti prudenti nella gestione della posta elettronica sono competenze ormai indispensabili per chiunque utilizzi internet.
