Una nuova campagna di phishing sfrutta finti messaggi WeTransfer apparentemente inviati dall’Agenzia delle Entrate. L’obiettivo è il furto delle credenziali di posta elettronica e di dati sensibili dei cittadini. Ecco tutti i dettagli su come funziona la truffa, quali sono i rischi e come proteggersi.
Il meccanismo della truffa: cosa arriva nella casella di posta
Nelle ultime settimane è in corso una diffusione massiccia di e-mail truffaldine che prendono di mira i contribuenti italiani. Il messaggio, che sembra provenire da un dominio istituzionale gov.it, riproduce fedelmente il layout di WeTransfer, il popolare servizio di condivisione file. Questo rende la comunicazione ingannevole e, a un primo sguardo, molto credibile.
All’interno della falsa e-mail si trova un invito a scaricare documenti fiscali, tra cui un file denominato “FatturaAgenziaEntrate.pdf”. Per rendere la trappola ancora più efficace, nel testo viene inserito un messaggio che crea un forte senso di urgenza, con la frase “Scade oggi”, spingendo la vittima a cliccare senza riflettere.
Cliccando sul pulsante “Scarica i file”, l’utente viene reindirizzato verso un sito creato ad arte dai cybercriminali. Questo portale, che imita un servizio legittimo, richiede l’inserimento delle credenziali di posta elettronica, che vengono così rubate e inviate agli attaccanti.
Perché è così pericolosa questa campagna di phishing
Questa campagna rappresenta una minaccia particolarmente seria perché sfrutta tre leve psicologiche fondamentali:
l’apparente autorevolezza del mittente, con il riferimento ad “Agenzia delle Entrate”;
la grafica ingannevole, praticamente identica a quella di WeTransfer;
la pressione psicologica dell’urgenza, con scadenze immediate che inducono a non rimandare l’azione.
Una volta sottratte le credenziali di posta elettronica, i criminali possono accedere alla casella della vittima, leggere e-mail riservate, inoltrare messaggi a contatti fidati per ampliare la truffa o addirittura compromettere ulteriori account collegati. In alcuni casi, questi dati possono essere rivenduti nel dark web o usati per compiere altre frodi, come l’accesso a servizi bancari online.
I segnali per riconoscere le e-mail truffa
Nonostante l’aspetto molto credibile, ci sono alcuni segnali che possono aiutare a riconoscere una falsa comunicazione:
il messaggio arriva da un indirizzo e-mail sospetto, spesso con leggere variazioni rispetto a un dominio ufficiale;
il testo contiene inviti pressanti ad agire subito, con frasi come “Scade oggi” o “Ultimo avviso”;
gli allegati hanno nomi che richiamano documenti fiscali o amministrativi, ma provengono da fonti inattese;
i link non conducono al sito istituzionale, ma a domini sconosciuti o poco affidabili.
Prestare attenzione a questi particolari può fare la differenza tra cadere nella trappola o mettersi al sicuro.
Le indicazioni dell’Agenzia delle Entrate
L’Agenzia delle Entrate ha chiarito ufficialmente di essere estranea a queste comunicazioni e di non inviare mai e-mail contenenti richieste di inserimento credenziali, download di file tramite piattaforme esterne o sollecitazioni con scadenze immediate.
Chiunque riceva messaggi sospetti deve evitare categoricamente di:
cliccare sui link contenuti nell’e-mail;
scaricare o aprire allegati;
fornire dati personali, credenziali o coordinate bancarie;
ricontattare i mittenti della comunicazione.
In caso di dubbi, la strada più sicura è verificare attraverso i canali ufficiali: la sezione “Focus sul phishing” disponibile sul sito istituzionale dell’Agenzia o, in alternativa, i contatti del proprio ufficio locale.
Come proteggersi dalle truffe online
Per ridurre il rischio di cadere vittima di simili campagne di phishing è consigliabile adottare alcune buone pratiche di sicurezza digitale:
attivare sistemi di autenticazione a due fattori sugli account di posta elettronica;
mantenere aggiornati i programmi antivirus e gli strumenti di protezione del dispositivo;
verificare sempre l’attendibilità del mittente prima di aprire allegati o cliccare su link;
non fidarsi mai di comunicazioni che creano eccessiva urgenza o che richiedono dati personali sensibili.
