Stando a quanto comunicato nelle scorse ore dal Computer Emergency Response Team dell'Agenzia per l'Italia Digitale (Cert-Agid), è in corso una massiccia campagna di smishing veicolata attraverso dei messaggi in cui i truffatori sfruttano il nome di Autostrade per l'Italia. Nel testo si fa riferimento al presunto mancato pagamento di un pedaggio per spingere l'obiettivo di turno a saldare il suo debito nella pagina web dedicata. Ovviamente il denaro inviato finirà direttamente nelle tasche dei cybercriminali che hanno organizzato la truffa, ma non solo: a rischio, infatti, sono anche i dati della carta inseriti dalla vittima sul portale online.
Come anticipato, tutto parte con un semplice messaggio:"Autostrade per l’Italia: risulta un pedaggio non saldato". Dopo aver inserito l'importo da pagare, in genere una cifra non eccessiva come 6,50 euro, e la data entro la quale effettuare il versamento, i malviventi indicano l'indirizzo web su cui cliccare per mettersi in regola:"https://autostiade.com/pay". "Se hai già pagato ignora questo SMS", conclude il testo.
Senza andare oltre, sarebbe sufficiente analizzare con un po' di attenzione alcuni dettagli del messaggio per comprendere di essere finiti in una truffa. Innanzitutto nel link indicato si legge "autostiade" e non "autostrade", in secondo luogo il sito ufficiale ha come estensione del dominio ".it" e non ".com": un chiaro esempio di "typosquatting", pratica illegale che consiste nel registrare e usare nomi di dominio molto simili a quelli di siti legittimi, ma con piccoli errori di battitura.
Cliccando sul link malevolo si viene reindirizzati in una pagina web ricreata dai truffatori con dovizia di dettagli: la mancanza di errori di battitura o di sintassi, i loghi, le grafiche e i font utilizzati sono quasi perfettamente sovrapponibili a quelli del sito originale. La vittima viene invitata a mettersi in regola compilando il modulo che compare a schermo: in questa fase si richiede la targa del veicolo. Nella pagina di pagamento, infine, si devono inserire informazioni sensibili come numero della carta, data di scadenza, codice CVC e dati del titolare. Non solo dando il via al versamento si perde la cifra indicata dai cybercriminali, ma quel che è peggio si forniscono loro le chiavi di accesso alla stessa carta, con rischi ben più gravi.
Il Cert-Agid invita gli utenti a verificare sempre con attenzione l’URL della pagina a cui si viene reindirizzati e quindi ad assicurarsi che il nome di dominio corrisponda con precisione a quello ufficiale dell’organizzazione indicata nel messaggio. "Inoltre, è bene diffidare da qualsiasi richiesta di inserimento di dati personali o bancari che arrivi tramite email o SMS, soprattutto se accompagnata da toni allarmistici o pressioni legate a scadenze imminenti".
Qualora ci siano dei dubbi, prosegue l'avviso, è meglio non interagire col messaggio e inoltrarlo "al CERT-AGID all’indirizzo malware@cert-agid.gov.it, che provvederà alle necessarie analisi per poi procedere con un riscontro".