Proseguono le campagne di smishing che sfruttano il nome dell’INPS. Stavolta i cybercriminali cercano di ingannare gli utenti con un falso bonus carburante. Lo scopo è rubare i dati della carta di credito. Gli esperti del Computer Emergency Response Team (CERT) dell’Agenzia per l’Italia Digitale (AgID) hanno descritto in dettaglio la truffa.
Non esistono sussidi statali per il carburante
A partire dall’inizio della settimana sono state rilevate 24 campagne di smishing che usano diversi domini. Non è noto come i cybercriminali ottengono i numeri di telefono delle potenziali vittime. Il cosiddetto bonus carburante era un contributo di 200 euro per i lavoratori dipendenti erogato fino al 2023 e non più disponibile. Nel messaggio è invece scritto che il cittadino può ricevere un sussidio per compensare l’aumento dei prezzi di benzina e diesel.
Il link porta ad una pagina con design simile a quello del sito INPS, in cui è scritto che il governo fornirà un bonus di 300 euro. L’utente deve quindi presentare la richiesta entro il 16 maggio 2026. Nella pagina successiva devono essere inseriti i dati personali: nome completo, indirizzo, città, CAP e numero di telefono.
Per ricevere un accredito rapido è necessario comunicare i dati della carta di credito: nome del titolare, numero della carta, data di scadenza e codice CVV. Ovviamente l’ignara vittima non riceverà nulla. I dati personali verranno utilizzati per altre attività criminali, mentre quelli della carta di credito per effettuare pagamenti (se non viene richiesto il secondo fattore di sicurezza).
Gli esperti del CERT-AgID hanno identificato elementi compatibili con Darcula, una nota piattaforma di phishing. Permette anche il furto dei codici OTP, quindi il pagamento verrà autorizzato se la banca chiede conferma tramite SMS. Gli utenti devono immediatamente cancellare i messaggi perché non sono stati inviati dall’INPS.
Ti potrebbe interessare
15 mag 2026