Truffa INPS: come riconoscere le e-mail phishing

Sono moltissime negli ultimi mesi le segnalazioni di una nuova truffa che avviene tramite phishing via e-mail e che è stata soprannominata “truffa INPS”, perché il mittente è all'apparenza proprio l'Istituto Nazionale della Previdenza Sociale.

Visto che le e-mail di phishing che impersonano mittenti istituzionali sono tra le più pericolose, abbiamo deciso di dedicare un post a questo tema. Scopriamo quindi di cosa si tratta e come riconoscere le email INPS truffa.

In cosa consiste la truffa INPS

La truffa a nome dell'INPS è un classico caso di phishing via e-mail. La vittima riceve un'e-mail inviata all'apparenza da un ufficio INPS, con tanto di presenza del logo dell'ente e linguaggio coerente con le comunicazioni istituzionali. Il contenuto può variare ma, come riportato dall'INPS stessa sul suo sito, lo scopo è sempre lo stesso: mettere le mani sui dati personali dei malcapitati.

Ecco alcuni esempi del messaggio contenuto nelle email INPS truffa:

• Il messaggio richiede di aggiornare i dati presenti sul sito dell'INPS per poter effettuare pagamenti o ricevere rimborsi.
• Oppure richiede di fornire le coordinate bancarie per ricevere un bonifico.
• L'utente può anche essere invitato a cliccare su un link per scaricare dei documenti importanti.
• Oppure “l'esca” può essere un presunto mancato pagamento dei contributi INPS che, se non regolato subito, può causare l'invio di una salatissima multa.
• Ancora, l'e-mail truffa inviata all'apparenza dall'ufficio INPS può avvisare l'utente che il suo account sul sito istituzionale è stato bloccato e occorre compilare un questionario per sbloccarlo.
• Le e-mail di phishing firmate INPS possono anche contenere dei pericolosi allegati da scaricare.

E-mail truffa firmate dall'INPS: come comportarsi

Ecco cosa fare se ricevi un'e-mail all'apparenza inviata dall'INPS:

• Controlla l'indirizzo e-mail da cui è stata inviata. Vedrai che, anche se il nome del mittente richiama, appunto, l'INPS, l'indirizzo non ha nulla a che fare con l'istituto, oppure imita un'e-mail istituzionale ma ha un dominio bizzarro, ad esempio @inps.br.
• Non cliccare su alcun link e non scaricare alcun allegato.
• Se hai dei dubbi, contatta l'INPS stessa tramite il suo Contact Center.
• In generale, non comunicare mai i tuoi dati personali in seguito a una richiesta che ti è pervenuta via e-mail, SMS o comunicazione telefonica. Sei hai l'esigenza di comunicarli, ad esempio alla tua banca, contattala in prima persona tramite i suoi canali ufficiali o recati in filiale. La stessa regola vale anche per le istituzioni pubbliche.

Vuoi diventare cintura nera nel riconoscere i tentativi di phishing? Gioca a CyberNinja, il gioco lanciato da CRIF che mette alla prova le tue conoscenze sul phishing e ti aiuta a non cadere nelle trappole dei cybercriminali.

Vuoi sapere se i tuoi dati personali sono finiti nelle mani sbagliate? C'è SICURNET, il servizio di Mister Credit che ti aiuta a monitorare la diffusione dei tuoi dati, anche nel Dark web, e ti avvisa in caso di pericolo.