Nuova truffa Agenzia delle Entrate sulle criptovalute, come funziona la campagna phishing e vishing di giugno e i consigli per difendersi.
Con un avviso pubblicato il 22 giugno l’Agenzia delle Entrate segnala nuovi casi di tentativi di phishing tramite mail. Le missive, che sembrano provenire dall’Agenzia delle Entrate, nascondono tentativi di truffa ai danni dei contribuenti.
I testi dei messaggi possono cambiare, ma in questa campagna sembra che si comunichi l’obbligo di dichiarazione per il possesso di cripto-asset digitali. Nella maggior parte dei casi viene data una scadenza imminente per adeguarsi all’obbligo per suscitare in chi legge l’urgenza di fornire le informazioni richieste per essere in regola.
Anche se le comunicazioni sembrano veritiere, utilizzano in maniera fraudolenta il logo e la grafica delle Entrate.
Phishing e vishing nella campagna fraudolenta
Una in particolare di queste campagne utilizza sia tecniche di phishing con quelle di vishing (con cui si indica una tecnica con la quale il truffatore induce la vittima e rivelare dati sensibili attraverso una comunicazione vocale). Quello che i malintenzionati cercano sono i dati sensibili, i codici di sicurezza e pagamenti da parte della vittima.
Come si articola la campagna e a cosa fare attenzione? Il sito su cui si giunge è molto simile a quello istituzionale dell’Agenzia delle Entrate. Il malcapitato è invitato a inserire il proprio codice fiscale e il proprio numero di telefono in un modulo che ricorda molto quello di autenticazione del portale dell’Agenzia delle Entrate.
Truffa Ade
1
Dopo aver inserito questi dati, all’utente viene chiesto di compilare un modulo di autodichiarazione, ma compare il codice fiscale e lo stato che risulta “In attesa di verifica patrimoniale”. Questo induce il malcapitato a pensare che ci sia già una pratica aperta a suo nome che debba essere completata.
Truffa AdE
2
Il modulo chiede se si utilizzano wallet o exchange di criptovalute e la truffa prosegue in base alla risposta dell’utente:
- se si risponde SÌ viene richiesto di indicare il wallet utilizzato, la data in cui si è effettuato l’ultimo deposito e il valore del patrimonio in cripto;
Truffa AdE
3
- se si risponde NO la truffa cambia direzione e al malcapitato viene richiesto il nome dell’istituto di credito presso il quale si ha un conto corrente e l’ultimo saldo in euro.
Truffa AdE
4
In entrambi i casi dopo aver introdotto i dati il sistema simula un errore di sincronizzazione.
Truffa AdE
5
La pagina avvisa il contribuente che corre il rischio di emissione di un avviso di accertamento automatico e di blocco cautelativo degli asset. Per evitare ciò, la vittima è invitata a contattare il numero dell’ “Ufficio Verifiche di Milano”. In questo momento il phishing si trasforma in vishing e i truffatori proseguono il raggiro per telefono.
I consigli dell’Agenzia delle Entrate
Ovviamente l’Agenzia delle Entrate disconosce queste comunicazioni e raccomanda di cestinare queste missive immediatamente. L’invito è sempre lo stesso:
In caso di dubbi sulla veridicità di una comunicazione ricevuta dall’Agenzia, il nostro consiglio è di effettuare una verifica preliminare consultando la pagina “Focus sul phishing” del portale istituzionale dell’Agenzia, oppure rivolgendosi ai contatti reperibili sempre sul portale istituzionale www.agenziaentrate.gov.it o direttamente all’Ufficio territorialmente competente.
