Una nuova campagna di smishing che sfrutta il nome dell’INPS sta circolando, con un’evoluzione preoccupante nelle tecniche di raccolta dati. A segnalarlo è il CERT-AGID, che ha ricevuto notifica direttamente dall’Istituto nazionale di previdenza sociale riguardo a un’ondata di messaggi fraudolenti basati sul tema delle presunte “erogazioni statali”.
I criminali informatici utilizzano comunicazioni ingannevoli — tipicamente via SMS — che rimandano a siti web falsi, costruiti per imitare l’aspetto grafico e istituzionale dell’INPS. L’obiettivo è convincere le vittime a fornire i propri documenti e dati personali.
Dalle analisi è emerso un aggiornamento nella struttura del sito fraudolento. Oltre alle consuete fasi di raccolta informazioni e caricamento documenti (tessera sanitaria, patente, carta d’identità, buste paga e selfie), già osservate in campagne precedenti, sono state introdotte due nuove pagine dedicate a informazioni reddituali e occupazionali.
La procedura ora prevede anche l’upload del CUD e la compilazione di dettagli sulla posizione lavorativa attuale (datore di lavoro, data di assunzione, tipo di contratto).
La combinazione di documenti d’identità e documentazione reddituale consente ai truffatori di costruire un profilo ancora più completo della vittima.
Secondo gli esperti, le nuove richieste potrebbero servire a rendere il set informativo più spendibile in frodi successive, ad esempio per simulare pratiche di finanziamento o prestiti. Un’altra ipotesi è la selezione delle vittime “più appetibili” in base a reddito e stabilità lavorativa, così da puntare a truffe di importo maggiore o con più probabilità di successo.
Il CERT-AGID ha provveduto a richiedere la dismissione del dominio malevolo e ha distribuito gli Indicatori di Compromissione (IoC) alle Pubbliche Amministrazioni accreditate
Si raccomanda di non cliccare su link sospetti e di non fornire mai dati personali o documenti tramite comunicazioni non ufficiali.
