Il Comune, in seguito a una comunicazione urgente ricevuta dal CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia di Stato, desidera mettere in guardia i cittadini riguardo una nuova e pericolosa campagna di phishing in corso, veicolata tramite email o SMS, che ha come tema presunte multe o infrazioni stradali non pagate.
Questa variante della truffa è particolarmente insidiosa in quanto sfrutta un meccanismo di open redirect su domini apparentemente legittimi di Google (ad esempio un sottodominio di google.be) per reindirizzare l'utente.
Come si svolge l'inganno (Evento in corso):
- L'Esca Iniziale: La potenziale vittima riceve una comunicazione che la induce a cliccare su un link che inizia con un sottodominio Google.
- Reindirizzamento Intermedio: Questo link, sfruttando il meccanismo open redirect, reindirizza verso una pagina intermedia ospitata su una piattaforma legittima (bio.site), che riproduce il logo di PagoPA e fa riferimento alle presunte infrazioni non pagate.
- La Falsa Richiesta di Pagamento: La pagina fraudolenta invita l'utente a cliccare su un pulsante con la dicitura "Accedi al servizio di regolamento".
- Il Furto di Dati: Cliccando, si accede alla pagina di phishing vera e propria (ospitata, ad esempio, su privatedns.org), graficamente imitante il portale ufficiale, dove viene richiesto di inserire dati personali (nome, cognome, data di nascita, CAP, indirizzo e-mail) e i dettagli di carte elettroniche di pagamento.
COSA FARE PER PROTEGGERSI (Regole fondamentali):
- Verificare l'URL: Controllare sempre con estrema attenzione l'indirizzo web (URL) nella barra del browser. Non fidarsi mai del solo logo o dell'aspetto grafico. Se l'indirizzo non è il sito ufficiale dell'Ente (Comune, Polizia Locale, ecc.) o di PagoPA, è una truffa.
- Non Inserire Dati Sensibili: MAI inserire i dettagli delle proprie carte di pagamento (numero, data di scadenza, CVV) in risposta a richieste ricevute via email o SMS, o su siti la cui legittimità non è stata verificata.
- Dubitare delle Richieste Impreviste: In caso di avviso di multa o pagamento inatteso, l'unico modo sicuro è verificare direttamente accedendo all'area riservata dell'Ente emittente o tramite l'App IO, utilizzando i canali ufficiali e senza mai cliccare sui link presenti nell'allerta sospetta.
La Polizia di Stato e le Autorità legittime non richiedono mai l'inserimento di dati sensibili delle carte di pagamento tramite link in email o messaggi non sollecitati.
