Agenzia delle Entrate e "stagione di pesca" (phishing)

L’Agenzia delle Entrate, con il comunicato stampa del 14 ottobre 2019 informa i cittadini del tentativo di frode via PEC attraverso operazioni di phishing.

Il phishing consiste in una truffa online in cui si cerca di ottenere da parte del destinatario di una finta comunicazione da parte di un ente affidabile (es. e-mail, popup, PEC) informazioni personali o aziendali quali ad esempio credenziali di accesso o dati finanziari. L’attività ingannevole consente così al criminale di “pescare” informazioni e password, o anche di infettare i dispositivi delle vittime attraverso allegati malevoli.

Come riconoscere un tentativo di phishing
Il tentativo di phishing impiega solitamente una comunicazione che richiama nei contenuti il linguaggio e la grafica di un ente affidabile (ad es. Agenzia delle Entrate, INPS, o un istituto di credito), invitando a:
- aprire un link;
- aprire un allegato;
- rispondere alla comunicazione inviando delle informazioni;
ed ha lo scopo di far leva sul senso di urgenza (ad esempio: una scadenza imminente, un evento positivo) al fine di diminuire la soglia di allerta dell’utente per far ritenere come verosimile la comunicazione ricevuta e così intraprendere le azioni richieste.

Alcuni tentativi di phishing comunemente ricevuti con indirizzi contraffatti dell’Agenzia delle Entrate, ad esempio, possono contenere:
- riconoscimento di rimborsi;
- notifiche di accertamento;
- decreti ingiuntivi;
- richiesta di cambio credenziali di accesso;
ed invitare l’utente ad aprire l’allegato (solitamente in formato .zip o .pdf) o altrimenti a seguire un link indicato. È bene ricordare che enti pubblici o istituti di credito non inseriscono mai un link all’interno della mail per l’aggiornamento dei dati personali o la modifica di credenziali.
Inoltre, controllando l’indirizzo del mittente e di provenienza dell’e-mail è spesso possibile scoprire che lo stesso è contraffatto rispetto agli indirizzi istituzionali: spesso viene mostrato un nome riconducibile all’ente “affidabile” mentre l’indirizzo rivela tutt’altro mittente.

Come contrastare un tentativo di phishing
Una volta riconosciuta la minaccia, si consiglia l’eliminazione di tali messaggi.
L’installazione di filtri della posta e programmi anti-malware aiutano a contrastare i tentativi di frode, così come la corretta istruzione e sensibilizzazione degli operatori sul riconoscimento di tali fonti di rischio.

Prevenzione del phishing e GDPR?
Il GDPR impone l’adozione di misure di sicurezza tecniche e organizzative adeguate al rischio (art. 32), nonché di istruire gli operatori autorizzati all’accesso ai dati personali e allo svolgimento delle operazioni sugli stessi (art. 29).È bene considerare, dunque, nell’ottica del generale adeguamento della propria organizzazione al GDPR, tanto l’adozione di misure tecnologiche (filtri, anti-malware, etc.) che organizzative (istruzione e sensibilizzazione degli operatori), al fine di contrastare (o prevenire) le minacce costituite da tali tentativi di frode che possono compromettere la sicurezza delle informazioni e dei sistemi producendo, in alcuni casi, anche eventi di data breach.

Commenti