L’Agenzia delle entrate invita a prestare la massima attenzione a false email in circolazione negli ultimi giorni che diffondono virus e software dannosi per il proprio pc o che contengono comunicazioni non attribuibili all’Agenzia stessa. In particolare, nelle false email, che riportano il logo “Agenzia entrate”, si fa riferimento a incongruenze nelle liquidazioni periodiche Iva, a nuove disposizioni circa l’efficientamento energetico o a generici problemi di comunicazione con il contribuente. In tutti i casi è presente un allegato in formato .zip, oppure un file Excel con macro (.xlsm), che contengono software dannosi.

L’Agenzia disconosce il contenuto di questi messaggi e raccomanda di cestinarli senza aprire alcun allegato. Per maggiori informazioni è disponibile la sezione “Focus sul phishing - segnalazioni e approfondimenti”, che viene regolarmente aggiornata con notizie e dettagli sulle ultime truffe via email, in modo da aiutare i cittadini a riconoscerle ed eliminarle immediatamente. Di seguito, alcune tipologie di false comunicazioni attualmente in circolazione.

• Mail per generici problemi di comunicazione con malware allegato - I messaggi, contenenti spesso errori ortografici e parole in altre lingue, segnalano generici problemi di comunicazione e indicano la password per aprire un archivio zip allegato o un file Excel .xlsm contenente un software malevolo.

• False comunicazioni dell’Agenzia su incongruenze nelle “liquidazioni periodiche - Iva” - Le mail hanno mittente “Direzione ” e oggetto “ordine di custodia sul registro tributario”. Nel testo si parla di spiegazioni disponibili nel cassetto fiscale o nell’archivio allegato alla e-mail, al cui interno si trova il contenuto dannoso.

• Messaggio su “Commissione parlamentare di osservanza sul registro tributario” - Il mittente è “Ufficio accertamenti ” e l’oggetto “Commissione parlamentare di osservanza sul registro tributario”. Anche in questo caso il messaggio ha un allegato con contenuto malevolo.

Attenzione alle false email: che cos'è il phishing

Quando si parla di rischi per la sicurezza dei propri dati, uno dei termini ormai tristemente noti è “phishing”. Si tratta, come sa chi ci è già incappato, di una tecnica con la quale si cerca di carpire informazioni riservate quali, ad esempio, il numero della carta di credito o le credenziali di accesso a vari sistemi come la telebanca. La tecnica con la quale si conduce questo attacco è sostanzialmente semplice: si distribuisce in maniera massiccia una mail che riproduce, in maniera più o meno accurata, quella di un servizio noto, per esempio il tracking di un corriere o un’informativa della banca (o magari una comunicazione dell’Agenzia delle entrate). Nel testo della mail, oppure all’interno di un allegato, è presente un link che porta a una pagina web, anch’essa il più possibile simile a quella “legittima”, nella quale l’utente ignaro inserisce in buona fede le informazioni riservate che vengono in questo modo raccolte dall’attaccante.

Il sistema è simile, per certi versi, alla pesca a strascico: si getta una rete più ampia possibile e si cerca di raccogliere ciò che vi rimane impigliato. Il nome “phishing” proviene proprio dall’idea di “andare a pesca” di informazioni riservate. Il furto di informazioni non è tuttavia l’unico rischio: le tecniche tipiche del phishing vengono infatti utilizzate per mettere in atto anche attacchi più pericolosi. Il sistema di base è lo stesso: si tenta di ingannare il destinatario dell’attacco e convincerlo a eseguire un’operazione “normale”, come cliccare su un link o aprire un file allegato che all’apparenza sembra di provenienza legittima o comunque innocuo. Lo scopo è quello di lanciare un malware, un software malevolo che può servire, ad esempio, per prendere il controllo del computer attaccato, oppure per estorcere denaro tramite un ransomware.