Un finto dominio istituzionale, un allegato travestito da documento ufficiale e un messaggio che invita ad agire immediatamente. È questa la combinazione usata dai cybercriminali per confezionare l’ennesima campagna di phishing, che circola in queste ore sotto le sembianze di una comunicazione dell’Agenzia delle Entrate. Ecco in cosa consiste l'inganno e come non caderci.
Il messaggio
Sembra provenire da un indirizzo governativo con estensione gov.it il messaggio, che contiene un file chiamato "FatturaAgenziaEntrate" e sottolinea che il contenuto sarebbe valido solo "fino a oggi". Un’urgenza studiata ad arte per spingere le vittime a cliccare senza pensarci troppo. Ma dietro quella che appare come un’ordinaria notifica istituzionale, si nasconde una trappola digitale: un collegamento fraudolento che porta dritto a un sito malevolo controllato dai truffatori.
L’avviso dell’Agenzia
A smascherare la frode è stata la stessa Agenzia delle Entrate, che ha diffuso una nota ufficiale chiarendo la natura ingannevole del messaggio. L’indirizzo mittente – amministrazione@cert.gov.it – non ha nulla a che vedere con la Pubblica Amministrazione, sebbene la sua struttura possa trarre in inganno. In realtà, la finta comunicazione simula l’interfaccia di WeTransfer e invita a scaricare presunti file. Secondo gli esperti, cliccando sul pulsante si finisce su una risorsa sotto il controllo degli attaccanti, con l’obiettivo di carpire le credenziali di posta elettronica. Le conseguenze possono essere gravi: dall’accesso illecito alla casella mail fino al furto di dati sensibili, comprese informazioni bancarie e documenti personali.
Non è la prima volta
Non si tratta di un episodio isolato. Il nome dell’Agenzia è già stato usato più volte negli ultimi mesi per tentativi analoghi. L’ente, guidato da Vincenzo Carbone, ribadisce la propria totale estraneità e invita i cittadini a non fidarsi di messaggi che chiedono di aprire allegati, inserire password o condividere dati personali. L’indicazione è chiara: non cliccare, non scaricare, non rispondere.
Le regole per difendersi
Per aiutare gli utenti a riconoscere le trappole digitali, sul portale ufficiale dell’Agenzia è disponibile un vademecum contro il phishing. Tra i suggerimenti principali: controllare sempre il mittente, verificare la correttezza del testo, diffidare di link abbreviati o sospetti e prestare attenzione agli allegati con doppia estensione.
Ma soprattutto, ricordare una regola fondamentale: l’Agenzia delle Entrate non invia mai email con richieste di credenziali o dati riservati. Un promemoria che può sembrare banale, ma che in tempi di frodi sempre più sofisticate resta l’arma più efficace per non cadere nelle reti dei truffatori.