Truffa SMS finta notifica SEND e pagoPA

Cosa sta succedendo

Stanno circolando SMS falsi che sembrano provenire da SEND, il servizio ufficiale dello Stato per le notifiche digitali, oppure da pagoPA. Il messaggio avvisa di una fantomatica sanzione da pagare subito, con un collegamento che porta a un sito contraffatto (cioè una copia ingannevole del sito vero). Se si inseriscono i propri dati di pagamento o le credenziali del conto, i truffatori li rubano in pochi secondi. Lo Stato italiano non manda mai SMS con richieste urgenti di pagamento tramite link.

Esempio concreto

Maria riceve un SMS con scritto: ‘SEND – Notifica ufficiale: hai una sanzione non pagata di 89 euro. Clicca qui per regolarizzare la tua posizione ed evitare more’. Il link apre una pagina con i loghi ufficiali di SEND e pagoPA, che sembra vera. Maria inserisce il numero della sua carta di credito e il codice di sicurezza per pagare. In realtà ha appena consegnato i dati della sua carta ai truffatori, che li useranno per svuotarle il conto.

Cosa fare se hai un iPhone (Apple)

1. Non aprire MAI i collegamenti contenuti in SMS di questo tipo. Se hai già aperto il link, non inserire nessun dato e chiudi subito la pagina. 2. Se hai inserito i dati della tua carta o del tuo conto, chiama immediatamente la tua banca al numero sul retro della carta e chiedi il blocco immediato. 3. Segnala il messaggio: tieni premuto sull’SMS ricevuto, tocca ‘Segnala spazzatura’ oppure ‘Elimina e segnala spam’. 4. Se vuoi controllare se hai notifiche reali, NON usare il link dell’SMS: accedi al servizio digitando a mano nel browser l’indirizzo ufficiale notifichedigitali.it, oppure entra con SPID/CIE dall’app IO. 5. Nel dubbio, fermati qualche secondo e parlane con una persona di fiducia prima di fare qualsiasi cosa.

Cosa fare se hai un Android

1. Non aprire MAI i collegamenti contenuti in SMS di questo tipo. Se hai già aperto il link, non inserire nessun dato e chiudi subito la pagina. 2. Se hai inserito i dati della tua carta o del tuo conto, chiama immediatamente la tua banca al numero sul retro della carta e chiedi il blocco immediato. 3. Segnala il messaggio come spam: apri l’app Messaggi, tieni premuto sull’SMS sospetto, tocca i tre puntini in alto a destra e seleziona ‘Blocca e segnala spam’. 4. Se vuoi controllare se hai notifiche reali, NON usare il link dell’SMS: accedi al servizio digitando a mano nel browser l’indirizzo ufficiale notifichedigitali.it, oppure entra con SPID/CIE dall’app IO. 5. Nel dubbio, fermati qualche secondo e parlane con una persona di fiducia prima di fare qualsiasi cosa.

Cosa NON fare

  • Non cliccare mai sul collegamento contenuto nell’SMS, anche se il messaggio sembra urgente o minaccioso.
  • Non inserire mai i dati della tua carta, del tuo conto o le tue credenziali di accesso in pagine raggiunte tramite un SMS.
  • Non fidarti dei loghi o dei grafici presenti nella pagina: i truffatori copiano fedelmente l’aspetto dei siti ufficiali.
  • Non chiamare numeri di telefono indicati nell’SMS: potrebbero essere numeri dei truffatori stessi.
  • Non ignorare l’accaduto se hai già inserito i tuoi dati: agisci subito contattando la banca, ogni minuto conta per bloccare eventuali transazioni fraudolente.

Truffa del Falso Supporto Tecnico

Cosa sta succedendo

Immagina di vedere sul tuo computer un avviso spaventoso che dice ‘Il tuo sistema è infetto, chiama subito questo numero’. Oppure ti arriva una telefonata da qualcuno che dice di essere un tecnico di Microsoft o della tua banca. L’obiettivo è farti installare un programma che gli permette di controllare il tuo computer a distanza, o farti dare le credenziali del tuo conto bancario. Tutto viene presentato come urgente per metterti in panico.

Esempio concreto

Stai navigando e compare un avviso a tutto schermo con suono di allarme: ‘ATTENZIONE! Il tuo computer è stato bloccato per attività sospette. Chiama subito il numero verde 800-XXXXX’. Chiami pensando sia Microsoft. Un finto tecnico ti chiede di installare un programma per ‘riparare’ il computer. Una volta installato, lui vede tutto quello che fai, inclusi i tuoi accessi al home banking.

Cosa fare se hai un iPhone (Apple)

1. Se vedi un avviso allarmante su Safari, chiudi immediatamente la scheda: tieni premuto il pulsante Safari nella barra in basso, poi chiudi la scheda sospetta. 2. Vai su Impostazioni > Safari > Blocca popup e assicurati che sia attivo per evitare messaggi falsi. 3. Non installare mai app che ti vengono chieste telefonicamente: verifica che le app siano solo dall’App Store ufficiale in Impostazioni > Generali > Gestione dispositivo. 4. Se hai dubbi su una telefonata, riattacca e chiama tu il numero ufficiale della tua banca che trovi sul retro della carta.

Cosa fare se hai un Android

1. Se vedi un avviso allarmante nel browser, chiudi subito la scheda e vai su Impostazioni > App > Chrome (o il browser che usi) e cancella dati e cache. 2. Vai su Impostazioni > Sicurezza e assicurati che ‘Installa app sconosciute’ sia DISATTIVATO per tutte le app: questo impedisce installazioni pericolose da fuori dal Play Store. 3. Attiva Google Play Protect: vai su Play Store > icona del tuo account in alto a destra > Play Protect e verifica che sia attivo. 4. Se ricevi chiamate da sedicenti tecnici, riattacca e chiama direttamente il numero ufficiale della tua banca che trovi sul retro della carta o sul sito ufficiale.

Cosa NON fare

  • Non chiamare mai i numeri indicati negli avvisi pop-up o negli alert che compaiono sullo schermo
  • Non permettere mai a nessuno di accedere in remoto al tuo computer o telefono, neanche se dice di essere della tua banca
  • Non installare software di assistenza remota (come TeamViewer o AnyDesk) su richiesta di qualcuno che ti ha contattato
  • Non fornire mai le credenziali del tuo home banking o i codici OTP ricevuti per SMS, nemmeno a chi si presenta come dipendente della tua banca
  • Non lasciarti convincere dall’urgenza: le vere emergenze informatiche non richiedono pagamenti immediati

Truffa della Fattura (Cambio IBAN fraudolento)

Cosa sta succedendo

Questa truffa funziona così: qualcuno ti contatta fingendo di essere un tuo fornitore o creditore e ti dice che le sue coordinate bancarie sono cambiate. Ti chiede di pagare le fatture su un nuovo IBAN. In realtà quei soldi vanno direttamente ai truffatori. Il contatto può arrivare via telefono, email, fax o lettera, quindi bisogna stare attenti su tutti i canali.

Esempio concreto

Ricevi una email dal tuo fornitore abituale di cancelleria che ti avvisa: ‘Abbiamo cambiato banca, d’ora in poi pagare le fatture su questo nuovo IBAN’. L’email sembra vera, ha lo stesso logo e firma. Ma l’account email è stato violato o è una copia quasi identica. Paghi regolarmente ma i soldi vanno ai ladri.

Cosa fare se hai un iPhone (Apple)

1. Prima di modificare qualsiasi IBAN nella rubrica dei pagamenti, chiama il fornitore al numero che hai sempre usato (non quello indicato nella comunicazione sospetta). 2. Vai su Impostazioni > Mail e controlla che le email che ricevi abbiano indirizzi mittente corretti, non simili a quelli reali. 3. Attiva Face ID o Touch ID sul tuo banking mobile: vai su Impostazioni > Face ID e codice e assicurati che sia attivo per le app finanziarie. 4. Non salvare mai nuovi IBAN senza una verifica telefonica con il contatto abituale.

Cosa fare se hai un Android

1. Prima di cambiare qualsiasi IBAN, chiama sempre il fornitore usando il numero che hai nella tua rubrica, mai quello indicato nella comunicazione ricevuta. 2. Su Android vai su Impostazioni > Sicurezza > Blocco schermo e assicurati di avere un PIN sicuro per proteggere le app bancarie. 3. Controlla l’indirizzo email del mittente per intero: i truffatori usano indirizzi quasi identici a quelli reali (esempio: [email protected] scritto in modo leggermente diverso). 4. Attiva le notifiche push della tua banca per ogni movimento: vai nelle impostazioni dell’app bancaria e attiva gli avvisi in tempo reale.

Cosa NON fare

  • Non modificare mai le coordinate bancarie di un fornitore basandoti solo su una email, lettera o telefonata
  • Non richiamare il numero indicato nella comunicazione sospetta: potrebbe essere il numero dei truffatori
  • Non trascurare le piccole differenze negli indirizzi email: anche una lettera diversa può essere decisiva
  • Non rimandare la verifica pensando che si tratti di burocrazia: ogni pagamento sbagliato è denaro perso
  • Non ignorare la sensazione di qualcosa di strano: se hai dubbi, ferma il pagamento e verifica

Ondata massiccia di truffe digitali in Italia – settimana 6-12 giugno

Cosa sta succedendo

Nella settimana dal 6 al 12 giugno, i tecnici del CERT-AGID (l’ente governativo italiano che monitora le minacce informatiche) hanno scoperto ben 172 campagne di truffa digitale attive nel nostro paese. È come se ogni giorno decine di gruppi criminali organizzati lanciassero nuove esche per ingannare gli italiani via email, SMS o messaggi WhatsApp. Queste truffe possono arrivare sotto forma di false notifiche di banche, corrieri, enti pubblici o aziende di energia. Il numero alto ci dice che il fenomeno è molto attivo e che chiunque può essere preso di mira, indipendentemente dall’età o dal telefono che usa.

Esempio concreto

Immagina di ricevere un SMS che sembra arrivare da BRT o da Poste Italiane: ti dice che hai un pacco in attesa e ti chiede di cliccare su un link per sbloccare la consegna. Il sito che si apre sembra quello vero, ma è una copia falsa creata dai truffatori. Se inserisci i tuoi dati o le credenziali del tuo home banking, finiscono direttamente nelle mani dei criminali. Oppure ricevi una email apparentemente da Enel o dall’Agenzia delle Entrate che ti chiede di aggiornare i tuoi dati con urgenza. Questi sono esattamente i tipi di campagne rilevate dal CERT-AGID in questa settimana.

Cosa fare se hai un iPhone (Apple)

1. Attiva il filtro messaggi sospetti: vai in Impostazioni > Messaggi > Filtra mittenti sconosciuti e attiva l’opzione. Così gli SMS da numeri che non conosci finiscono in una cartella separata. 2. Non aprire mai link ricevuti via SMS o email senza prima verificare chi te li ha mandati: se hai dubbi, chiudi il messaggio e chiama direttamente l’azienda dal numero ufficiale trovato sul loro sito (non dal messaggio ricevuto). 3. Controlla che Safari ti protegga dai siti pericolosi: vai in Impostazioni > Safari > Avviso sito web fraudolento e assicurati che sia attivo. Questo fa sì che iPhone ti avvisi prima di aprire un sito truffaldino. 4. Tieni il sistema aggiornato: vai in Impostazioni > Generali > Aggiornamento Software e installa sempre gli aggiornamenti disponibili. Gli aggiornamenti correggono falle di sicurezza che i truffatori sfruttano.

Cosa fare se hai un Android

1. Attiva la protezione contro i messaggi spam: apri l’app Messaggi di Google, tocca i tre puntini in alto a destra, vai in Impostazioni > Protezione spam e attiva Attiva protezione spam. Questo aiuta a riconoscere e bloccare gli SMS truffaldini prima che tu li legga. 2. Verifica che Google Play Protect sia attivo: apri l’app Play Store, tocca la tua foto profilo in alto a destra, vai in Play Protect > Impostazioni e controlla che La scansione delle app sia attivata. Questa funzione controlla che le app sul tuo telefono non siano pericolose. 3. Non installare mai app da link ricevuti via SMS o email: vai in Impostazioni > Sicurezza e privacy (o Sicurezza a seconda del modello) e assicurati che Installa app sconosciute sia disattivato per tutte le app. Le app legittime si scaricano solo dal Play Store ufficiale. 4. Aggiorna Android regolarmente: vai in Impostazioni > Informazioni sul telefono > Aggiornamenti software e installa tutti gli aggiornamenti disponibili, incluse le patch di sicurezza mensili.

Cosa NON fare

1. Non cliccare mai su link contenuti in SMS o email inaspettati, anche se il mittente sembra essere la tua banca, Poste, un corriere o un ente pubblico: i truffatori sono bravissimi a imitare loghi e stili grafici ufficiali. 2. Non inserire mai username, password o dati della carta di credito su un sito raggiunto tramite un link ricevuto via messaggio: vai sempre sul sito ufficiale digitando l’indirizzo direttamente nel browser. 3. Non farti prendere dalla fretta: i messaggi truffaldini usano spesso parole come URGENTE, ULTIMO AVVISO o Il tuo account verrà bloccato proprio per farti agire d’impulso senza pensare. 4. Non condividere codici OTP (i numeri temporanei che ti manda la banca via SMS per confermare un’operazione) con nessuno, nemmeno con chi dice di essere il supporto tecnico della tua banca. 5. Non ignorare le segnalazioni: se ricevi un messaggio sospetto, puoi inoltrarlo al CERT-AGID tramite il sito ufficiale cert-agid.gov.it oppure segnalarlo direttamente alla tua banca o all’azienda imitata.

Falsa Polizia Postale ruba dati in tempo reale

Cosa sta succedendo

I truffatori hanno copiato il sito ufficiale della Polizia Postale per farti credere di essere in un posto sicuro. L’obiettivo è rubarti i dati personali e bancari per poi fare il cosiddetto SIM Swapping: in pratica si impossessano del tuo numero di telefono e ricevono loro tutti i codici di sicurezza che la banca ti manda via SMS, svuotandoti il conto.

Esempio concreto

Ricevi un messaggio che sembra dalla Polizia Postale, che ti avvisa di attività sospette sul tuo conto. Clicchi sul link, arrivi su una pagina identica al sito ufficiale del Commissariato PS Online, inserisci i tuoi dati… e in pochi minuti qualcuno chiama il tuo operatore telefonico spacciandosi per te e trasferisce il tuo numero su una nuova SIM.

Cosa fare se hai un iPhone (Apple)

1. Non cliccare MAI su link ricevuti via SMS o email che sembrano dalla Polizia: vai sempre sul sito ufficiale digitando l’indirizzo tu stesso nel browser. 2. Attiva il blocco chiamate indesiderate: vai su Impostazioni > Telefono > Silenzia sconosciuti. 3. Chiama il tuo operatore telefonico (TIM, Vodafone, WindTre) e chiedi di bloccare le richieste di portabilità numero o cambio SIM senza verifica in negozio con documento fisico. 4. Controlla che l’app della tua banca sia quella originale: vai su App Store, cerca il nome della banca e verifica che lo sviluppatore corrisponda alla banca ufficiale.

Cosa fare se hai un Android

1. Non cliccare MAI su link da SMS o email sospetti: digita sempre l’indirizzo del sito tu stesso nel browser. 2. Attiva Google Play Protect per proteggere il telefono: vai su Play Store > icona profilo in alto a destra > Play Protect > Attiva. 3. Chiama il tuo operatore telefonico e chiedi di bloccare le richieste di cambio SIM non verificate in negozio con documento. 4. Nelle Impostazioni > App, controlla che non ci siano applicazioni sconosciute installate di recente. 5. Se noti che il telefono perde il segnale improvvisamente, chiama subito il tuo operatore: potrebbe essere il segnale che qualcuno ha già trasferito il tuo numero.

Cosa NON fare

  • Non cliccare sui link nelle email o SMS anche se sembrano ufficiali con loghi della Polizia
  • Non inserire mai la tua password bancaria o il codice fiscale su un sito raggiunto tramite un link ricevuto
  • Non fornire al telefono i codici OTP (quei 6 numeri che arrivano via SMS dalla banca) a nessuno, nemmeno a chi dice di essere la Polizia
  • Non ignorare se il telefono smette improvvisamente di prendere campo: chiama subito l’operatore

Truffa del finto recupero crediti CyberSec Italia

Cosa sta succedendo

I truffatori si fingono esperti di sicurezza informatica, usando il nome di una conferenza vera (CyberSec Italia), e ti contattano dicendoti che possono recuperare i soldi che ti hanno già rubato in precedenza. In realtà vogliono rubarti altri soldi. È come se qualcuno ti chiamasse dopo che ti hanno scippato, dicendosi in grado di riportarti il portafoglio… ma in cambio di un anticipo in contanti.

Esempio concreto

Maria, 62 anni, aveva già perso 800 euro in una truffa online. La contattano via email firmata ‘CyberSecurity Italia’: ‘Abbiamo individuato chi ti ha truffata, possiamo recuperare i tuoi soldi per soli 200 euro di spese iniziali.’ Maria paga. Naturalmente non rivede né i 200 euro né gli 800 originali.

Cosa fare se hai un iPhone (Apple)

1. Se ricevi un’email sospetta, NON cliccare nessun link: tienila premuta nella lista email e scegli ‘Sposta nel Cestino’. 2. Vai su Impostazioni > Mail > Blocca mittente: apri l’email, tocca il nome del mittente in alto, poi ‘Blocca questo contatto’. 3. Se hai già risposto o pagato, vai su Impostazioni > Face ID e codice (o Touch ID e codice) e cambia subito il codice del telefono. Poi chiama la tua banca al numero sul retro della carta. 4. Segnala la truffa sul sito della Polizia Postale: commissariatodips.it, sezione Segnalazioni.

Cosa fare se hai un Android

1. Se ricevi un’email sospetta, NON toccare i link: tienila premuta nella app Gmail o Mail e scegli ‘Elimina’ o ‘Segnala come spam’. 2. Per bloccare il mittente su Gmail: apri il messaggio, tocca i tre puntini in alto a destra, poi ‘Blocca mittente’. 3. Se hai già risposto o pagato, vai su Impostazioni > Sicurezza e privacy > Blocco schermo e cambia il PIN del telefono. Poi chiama immediatamente la tua banca. 4. Segnala la truffa sul sito commissariatodips.it, sezione Segnalazioni.

Cosa NON fare

  • Non pagare MAI un anticipo per ‘recuperare’ soldi già persi: nessun ente legittimo chiede soldi per restituirti soldi.
  • Non fidarti di chi usa nomi di organizzazioni famose nelle email: il nome si copia facilmente, non significa nulla.
  • Non condividere i tuoi dati bancari o il codice OTP (il codice che arriva via SMS dalla banca) con nessuno che ti contatta.
  • Non vergognarti se sei stato truffato: succede a tutti, l’importante è denunciare subito.
  • Non aspettare: ogni ora che passa rende più difficile bloccare i pagamenti.

Falsi siti di agenzie di viaggio

Cosa sta succedendo

In questo periodo stanno circolando siti web che sembrano agenzie di viaggio vere, con tanto di offerte allettanti, numeri di telefono e partita IVA. In realtà sono truffatori che copiano i siti di agenzie esistenti per sembrare credibili. Paghi la vacanza, ma il viaggio non esiste: i soldi spariscono e non c’è nessuna prenotazione. La Polizia Postale ha lanciato un allarme ufficiale su questo fenomeno, che colpisce soprattutto chi cerca offerte online prima delle vacanze estive.

Esempio concreto

Stai cercando un volo + hotel per agosto su Google. Trovi un sito con offerte a prezzi stracciati, una grafica curata e un numero di telefono fisso. Chiami, ti rispondono, ti danno istruzioni per pagare con bonifico. Qualche settimana dopo, provando a contattarli di nuovo, il numero non risponde più e il sito è sparito. All’aeroporto scopri che non esiste nessuna prenotazione a tuo nome.

Cosa fare se hai un iPhone (Apple)

1. Prima di pagare qualsiasi viaggio online, cerca il nome dell’agenzia su Google aggiungendo la parola ‘truffa’ o ‘recensioni’: se altri sono stati ingannati, troverai segnalazioni. 2. Verifica il sito su cui stai per pagare: premi sull’indirizzo in cima allo schermo nel browser Safari e controlla che il nome del sito corrisponda esattamente a quello dell’agenzia ufficiale (anche una sola lettera diversa è un segnale di allarme). 3. Vai in Impostazioni > Safari > Avanzate e assicurati che le protezioni di navigazione siano attive. 4. Preferisci pagare con carta di credito invece che con bonifico bancario: in caso di truffa, puoi chiedere lo storno dell’addebito alla tua banca. 5. Prima di concludere l’acquisto, cerca i contatti ufficiali dell’agenzia in modo indipendente (non usare i numeri indicati sul sito sospetto) e chiama per confermare la prenotazione.

Cosa fare se hai un Android

1. Prima di pagare qualsiasi viaggio online, cerca il nome dell’agenzia su Google aggiungendo la parola ‘truffa’ o ‘recensioni’: se altri sono stati ingannati, troverai segnalazioni. 2. Verifica l’indirizzo del sito nella barra del browser Chrome: tocca il lucchetto o il nome del sito in cima allo schermo e controlla che il dominio sia esattamente quello dell’agenzia ufficiale, senza lettere extra o sostituzioni. 3. Vai in Impostazioni > App > Chrome > Autorizzazioni e verifica che le impostazioni di sicurezza siano attive; in Chrome stesso, apri il menu in alto a destra, vai in Impostazioni > Privacy e sicurezza > Navigazione sicura e seleziona ‘Protezione standard’ o superiore. 4. Preferisci pagare con carta di credito invece che con bonifico bancario: in caso di truffa, puoi chiedere lo storno dell’addebito alla tua banca. 5. Prima di concludere l’acquisto, cerca i contatti ufficiali dell’agenzia in modo indipendente (non usare i numeri indicati sul sito sospetto) e chiama per confermare la prenotazione.

Cosa NON fare

  • Non farti tentare da offerte con prezzi molto più bassi rispetto agli altri siti: è il segnale più comune di una truffa.
  • Non pagare mai con bonifico bancario diretto per prenotazioni online: è quasi impossibile recuperare i soldi in caso di frode.
  • Non fidarti di un sito solo perché ha un numero di telefono o una partita IVA visibile: i truffatori le usano apposta per sembrare credibili.
  • Non cliccare su link sponsorizzati o annunci nei risultati di ricerca senza verificare prima il sito: i truffatori comprano spazi pubblicitari per apparire in cima a Google.
  • Non aspettare per segnalare: se hai dubbi o sei stato truffato, contatta subito la Polizia Postale su www.commissariatodips.it.

Finti aggiornamenti bancari con virus NFC

Cosa sta succedendo

Sta circolando un virus per Android che si maschera da aggiornamento delle app della tua banca. Viene distribuito tramite link che portano a siti di terze parti (non gli store ufficiali) e, una volta installato, riesce a intercettare i pagamenti contactless del telefono, inviando i tuoi dati bancari ai truffatori. In pratica, il tuo telefono diventa uno strumento nelle mani di chi vuole svuotare il tuo conto senza che tu te ne accorga.

Esempio concreto

Ricevi un SMS o un messaggio WhatsApp che dice: ‘Aggiornamento urgente per la tua app bancaria: scarica qui la nuova versione per evitare il blocco del conto’. Il link non porta all’App Store ufficiale di Google, ma a una pagina esterna. Se scarichi e installi quel file, il virus si installa sul tuo telefono e può usare il chip NFC (quello che usi per i pagamenti contactless) per autorizzare transazioni a tua insaputa.

Cosa fare se hai un iPhone (Apple)

1. Se hai un iPhone sei al sicuro da questo specifico virus, che colpisce solo Android. Tuttavia, presta sempre attenzione ai messaggi sospetti: non cliccare mai su link che ti chiedono di scaricare un aggiornamento della tua app bancaria al di fuori dell’App Store ufficiale Apple. 2. Vai su Impostazioni > [Il tuo nome] > Abbonamenti e App Store per verificare che tutte le tue app siano aggiornate solo tramite canali ufficiali. 3. Se ricevi un messaggio strano dalla tua banca, chiama direttamente il numero sul retro della tua carta o sul sito ufficiale della banca per verificare.

Cosa fare se hai un Android

1. Non installare MAI aggiornamenti di app bancarie al di fuori del Google Play Store ufficiale. Vai su Play Store, cerca la tua app bancaria e aggiornala solo da lì. 2. Vai su Impostazioni > Sicurezza (o Biometria e sicurezza su Samsung) e assicurati che la voce ‘Origini sconosciute’ o ‘Installa app sconosciute’ sia DISATTIVATA per tutte le app, in modo da bloccare l’installazione di file scaricati da internet. 3. Vai su Impostazioni > Connessioni > NFC e pagamenti contactless: se non usi i pagamenti col telefono, disattiva l’NFC. 4. Se sospetti di aver già installato qualcosa di strano, vai su Impostazioni > App > (cerca app con nomi simili alla tua banca) e disinstalla qualsiasi app bancaria che non ricordi di aver scaricato dal Play Store. Poi chiama subito la tua banca.

Cosa NON fare

  • Non cliccare mai su link in SMS, email o messaggi WhatsApp che ti chiedono di aggiornare l’app della tua banca
  • Non scaricare file di app (quelli con estensione .apk) da siti web, link ricevuti via messaggio o da GitHub
  • Non credere ai messaggi che creano urgenza, come ‘aggiorna subito o il tuo conto sarà bloccato’
  • Non dare il permesso di installazione ad app che non provengono dal Google Play Store ufficiale
  • Non ignorare le notifiche della tua banca su movimenti sospetti: segnalali subito al servizio clienti

Furto silenzioso di account Microsoft su Android

Cosa sta succedendo

Alcune app Microsoft 365 per Android (Outlook, Teams, OneDrive e simili) contenevano un errore interno che permetteva a qualsiasi altra app installata sul tuo telefono di rubare in modo invisibile la tua chiave di accesso all’account Microsoft. Con quella chiave, l’app malevola poteva leggere le tue email, aprire i tuoi file, consultare il tuo calendario e persino inviare messaggi a tuo nome, il tutto senza chiederti nessuna password e senza che tu vedessi nulla di strano sullo schermo.

Esempio concreto

Immagina di aver scaricato qualche settimana fa un’app gratuita per modificare foto o un gioco. Quella app, in apparenza innocua, potrebbe aver sfruttato questa falla per appropriarsi silenziosamente del tuo accesso a Outlook o Teams. Da quel momento chiunque controllasse quella app poteva leggere le tue email di lavoro, i tuoi documenti su OneDrive e persino scrivere messaggi spacciandosi per te, senza che tu ricevessi nessun avviso.

Cosa fare se hai un iPhone (Apple)

Su iPhone questa vulnerabilità specifica non è presente perché riguarda solo le versioni Android delle app Microsoft. Tuttavia è comunque utile proteggere il tuo account Microsoft: 1. Aggiorna le app Microsoft dall’App Store: apri l’App Store, tocca il tuo profilo in alto a destra e scorri fino a ‘Aggiornamenti disponibili’ per installare le versioni più recenti di Outlook, Teams e OneDrive. 2. Attiva la verifica in due passaggi: vai su account.microsoft.com dal browser, scegli ‘Sicurezza’ > ‘Opzioni di sicurezza avanzate’ e abilita la verifica in due passaggi. 3. Controlla le sessioni attive del tuo account: da account.microsoft.com vai in ‘Sicurezza’ > ‘Attività di accesso’ per verificare che non ci siano accessi sospetti.

Cosa fare se hai un Android

1. Aggiorna subito tutte le app Microsoft: apri il Play Store, tocca l’icona del tuo profilo in alto a destra, scegli ‘Gestisci app e dispositivo’ e installa tutti gli aggiornamenti disponibili per Outlook, Teams, OneDrive, Office e qualsiasi altra app Microsoft. 2. Controlla le app installate di recente: vai in Impostazioni > App > Tutte le app e scorri l’elenco. Se vedi app che non ricordi di aver installato o che non usi mai, toccale e scegli ‘Disinstalla’. 3. Cambia la password del tuo account Microsoft come misura precauzionale: vai su account.microsoft.com dal browser del telefono, accedi, scegli ‘Sicurezza’ e poi ‘Cambia password’. 4. Attiva la verifica in due passaggi sul tuo account Microsoft: sempre in ‘Sicurezza’ su account.microsoft.com seleziona ‘Opzioni di sicurezza avanzate’ e abilita la verifica in due passaggi, così anche se qualcuno ha la tua chiave di accesso non può entrare senza il codice che arriva solo sul tuo telefono. 5. Verifica le sessioni attive: da account.microsoft.com vai in ‘Sicurezza’ > ‘Attività di accesso’ e controlla se ci sono accessi da dispositivi o luoghi che non riconosci; se ne trovi, scegli ‘Disconnetti’ e cambia subito la password.

Cosa NON fare

  • Non rimandare gli aggiornamenti delle app Microsoft: ogni giorno di ritardo è un giorno in cui la falla rimane aperta sul tuo telefono.
  • Non scaricare app da siti web o link ricevuti via messaggio: usa sempre e solo il Play Store ufficiale.
  • Non ignorare richieste di autorizzazione insolite da parte di app che già hai installato: se un gioco o un’app qualsiasi chiede improvvisamente accesso alle tue email, rifiuta e disinstallala.
  • Non usare la stessa password Microsoft su altri siti o servizi: se viene rubata in un posto, i truffatori la provano ovunque.
  • Non trascurare di controllare le email inviate dalla tua casella: se trovi messaggi che non hai scritto tu, il tuo account potrebbe essere già stato compromesso.

Trojan NFCShare: sito falso Intesa Sanpaolo ruba dati carta via NFC

Cosa sta succedendo

I truffatori hanno creato un sito web identico a quello di Intesa Sanpaolo (areaclienti-intesa.com). Dopo aver rubato le tue credenziali bancarie, ti chiedono di scaricare un ‘aggiornamento’ dell’app. In realtà è un’app spia che, una volta installata, ti chiede di avvicinare la carta di credito al telefono e inserire il PIN, poi manda tutti i dati ai criminali.

Esempio concreto

Ricevi un SMS che ti dice di accedere al tuo conto Intesa Sanpaolo tramite un link. Il sito sembra identico all’originale. Inserisci username e password, poi il sito ti dice di scaricare un ‘aggiornamento di sicurezza’. Installi il file, l’app ti chiede di appoggiare la carta al telefono per ‘verificarla’. In pochi secondi i dati della tua carta e il PIN sono nelle mani dei truffatori.

Cosa fare se hai un iPhone (Apple)

1. iPhone non può installare app al di fuori dell’App Store, quindi sei già protetto da questo specifico attacco. Non seguire mai link che ti chiedono di scaricare file .apk. 2. Se hai dubbi sull’autenticità di una comunicazione Intesa Sanpaolo, vai su Impostazioni > Safari > Avanzate e verifica che ‘Avvisi siti web fraudolenti’ sia attivato. 3. Usa solo l’app ufficiale Intesa Sanpaolo scaricata dall’App Store: vai su App Store, cerca ‘Intesa Sanpaolo Mobile’ e verifica che lo sviluppatore sia ‘Intesa Sanpaolo S.p.A.’. 4. Attiva la verifica in due passaggi dal tuo internet banking per aggiungere un livello di sicurezza extra.

Cosa fare se hai un Android

1. Vai su Impostazioni > Sicurezza e privacy > Installa app sconosciute e verifica che TUTTE le app abbiano il permesso DISATTIVATO. Questo impedisce di installare app da siti web. 2. Vai su Impostazioni > App > Google Play Protect e assicurati che sia attivo: tocca ‘Esegui scansione’ periodicamente. 3. Installa l’app Intesa Sanpaolo SOLO dal Google Play Store ufficiale: apri Play Store e cerca ‘Intesa Sanpaolo Mobile’, verifica che abbia milioni di download e che lo sviluppatore sia verificato. 4. Se hai già installato un file .apk sospetto, vai su Impostazioni > App, cerca app con nomi strani o ‘Support Nexi’ e disinstallala immediatamente, poi contatta la tua banca.

Cosa NON fare

– Non scaricare mai file .apk da siti web o link ricevuti via SMS/email, anche se sembrano ufficiali. – Non avvicinare mai la carta di credito al telefono su richiesta di un’app che non hai scaricato dall’App Store ufficiale. – Non inserire il PIN della carta in nessuna app che lo richieda al di fuori di uno sportello bancomat fisico. – Non cliccare sui link negli SMS che sembrano venire dalla tua banca: scrivi sempre tu l’indirizzo nel browser. – Non credere che un sito sia autentico solo perché sembra uguale all’originale.