Un nuovo SMS sta circolando e mietendo tante vittime: si tratta sempre di spoofing, una delle esche preferite degli hacker. Stavolta il veicolo (fittizio) è Esselunga
Immagina di ricevere un premio da Esselunga, che potrebbe valere l’equivalente di due o tre prodotti più importanti del catalogo “bollini”. Parliamo di corrispettivi che possono superare anche i 200-300 euro, se tramutati in costi fisici, non proprio una cifra di poco conto. Ecco, peccato che il tuo sia una truffa che è in grado, se non smascherata a dovere, di rubarti dati personali e anche denaro.
L’ennesimo tentativo di Spoofing arriva direttamente via SMS - solitamente - e utilizza la Carta Fidaty di Esselunga come tramite per mettere gli utenti di fronte a un bel link malevolo da cliccare. Un mal riuscito tentativo di imitazione di una presunta comunicazione ufficiale del supermercato. Il fine ultimo è quello di convogliare il traffico su siti contraffatti potenzialmente svuota conto.
Ecco come funziona la nuova truffa e tutto quello che bisogna fare per non cascarci.
Punti in scadenza sulla Carta Fidaty? No, solo truffa
Tutto parte da un SMS apparentemente innocuo, che si presenta come una comunicazione ufficiale di Esselunga. Il testo è studiato per catturare immediatamente l’attenzione: “Gentile Cliente, i 21.980 punti accumulati sulla sua Carta Fidaty stanno per scadere”. Una cifra forse un po’ troppo elevata ma comunque capace di attivare una reazione immediata. Per dare un’idea concreta, con poco più di 7.000 punti si possono ottenere ingressi a terme, parchi divertimento o premi di fascia alta: i quasi 22.000 punti citati nel messaggio equivalgono quindi a regali multipli, tra elettrodomestici, ingressi a parchi come Gardaland o esperienze premium.
Ed è proprio qui che entra in gioco la leva psicologica: l’urgenza. Il messaggio invita a riscattare subito i punti tramite un link, pena la perdita del “credito”. Cliccando, però, non si finisce sul sito ufficiale, ma su una pagina clone costruita per sembrare autentica. Qui viene chiesto di inserire dati personali, credenziali o addirittura informazioni bancarie.
Questa tecnica rientra nello spoofing: il mittente appare come “Esselunga”, ma è falsificato. Anche il sito utilizza domini simili, ma non autentici, spesso con piccole variazioni difficili da cogliere a colpo d’occhio. In alcuni casi i browser segnalano il pericolo, avvisando che il sito potrebbe tentare di rubare dati sensibili. A quel punto, però, per molti utenti è già troppo tardi.
Come non abboccare alla truffa “Esselunga”
Riconoscere questo tipo di truffa è possibile, ma richiede occhi aperti. Il primo elemento da controllare è sempre il dominio: il sito ufficiale di Esselunga utilizza esclusivamente “esselunga.it”. Qualsiasi variazione, anche minima, è un segnale d’allarme. Nel caso della truffa, il link rimanda a indirizzi alterati, costruiti ad arte per sembrare credibili ma completamente estranei al marchio.
Un altro indizio fondamentale sono gli errori nel testo. Anche quando il messaggio è ben scritto, spesso contiene refusi evidenti – come “vantaagi” invece di “vantaggi” – che difficilmente comparirebbero in una comunicazione ufficiale. A ciò si aggiunge il tono: comunicazioni che spingono all’azione immediata, con frasi come “riscatta subito” o “punti in scadenza”, sono tipiche del phishing.
C’è poi la questione della verosimiglianza del premio. Sebbene i punti Fidaty abbiano un valore reale, accumulare oltre 20.000 punti non è così frequente e, soprattutto, Esselunga non comunica mai premi o scadenze urgenti tramite link sospetti via SMS. Le comunicazioni ufficiali avvengono attraverso canali verificati, come app, area clienti o email certificate.
La regola d’oro resta una: non cliccare mai su link ricevuti via SMS se non si è certi della loro provenienza. Meglio digitare manualmente l’indirizzo del sito ufficiale o verificare direttamente tramite l’app. Diffidare, controllare e prendersi qualche secondo in più può fare la differenza tra un semplice messaggio ignorato e un conto svuotato.
© RIPRODUZIONE RISERVATA
