“È stata presentata una citazione a carico della Sua società, in merito a una fattura non dichiarata”. Questo l’inizio del testo della mail fraudolenta che è stata trasmessa a milioni di indirizzi email con provenienza “Agenzia delle Entrate”. Il testo prosegue: “Agenzia delle Entrate – Divisione Indagine – È stato presentato un reclamo contro la tua azienda in merito a una fattura non dichiarata. Un rappresentante dell’Agenzia delle Entrate ti contatterà entro i prossimi 3 giorni lavorativi per fissare un incontro e un modo per andare avanti. La denuncia è stata presentata da una società con sede a Roma in merito a fattura emessa e pagata a dicembre 2019. Abbiamo anche considerato che potrebbe trattarsi di un reclamo falso o non corretto, ma allo stesso tempo dobbiamo avviare un’indagine. Clicca qui per avere maggiori informazioni sulla società che ha presentato il reclamo, vedere la fattura in questione e agire di conseguenza. (link a questo indirizzo https://www.1933peizi.com/wp-content/uploads/2020/10/index.php?web=codice) Sulla base della tua risposta, prenderemo in considerazione le misure aggiuntive che devi prendere (Agenzia delle Entrate). Distinti saluti – Ufficio Indagine – Attenzione: La preghiamo di non rispondere a questa email poiché trattasi di invio automatizzato da server non presidiato. Ulteriori informazioni possono essere ottenute consultando il sito web di Assistenza ai Servizi telematici.”
Oltre ai soliti errori di battitura presenti nel testo, c’è anche un collegamento ipertestuale verso il sito (che abbiamo volutamente riportato tra parentesi come testo non linkato), che nulla ha a che fare con quello ufficiale dell’Agenzia delle Entrate, che come dominio ha www.agenziaentrate.gov.it, mentre l’indirizzo email che i creatori hanno inserito come mittente risulta essere: noreply.telematico.DOMINIOVITTIMA.EXT@agenziaentrate.com.
Al posto della dicitura dominiovittima.ext c’è l’indirizzo del sito del destinatario del messaggio. Lo script utilizzato per la trasmissione del messaggio potrebbe aver avuto tra le istruzioni redatte dal suo programmatore quello di colpire i domini attivi nella formula target dell’indirizzo email di default che corrisponde a info@nomeadominio.estensione.
In questo caso, proprio come accade in una battuta di pesca a strascico, si spara quel messaggio a migliaia e migliaia di siti attivi puntando sulla presenza quasi sicura del classico indirizzo “info@”. Tale tattica è stata adottata anche con l’indirizzo “postmaster@” presente sulla totalità dei domini attivi presso Aruba come caselle email di default. Riguardo all’indirizzo email di provenienza abbiamo già detto che è facilmente falsificabile senza violare nulla: qualche settimana fa i più attenti ricorderanno la vicenda della presunta “violazione” dell’indirizzo email del Ministro degli Esteri italiano. Per dare un’utilità a questo pezzo, occorre ribadire l’elenco delle consuete raccomandazioni del caso, ovvero:
1 – non aprire mai i link contenuti nelle email;
2- diffidare dei messaggi che ci invitano a compiere azioni di verifica o sollecito salvando allegati o cliccando collegamenti presenti nel messaggio;
3 – Segnalare il messaggio come spam al proprio fornitore di servizi di posta.
Se proprio non siete convinti delle regole scritte sopra, ed il messaggio che avete davanti vi suscita dei dubbi, provate a prendere contatti con l’ente che apparentemente sembra avervelo mandato ma senza utilizzare le informazioni contenute all’interno, bensì mediante i siti ufficiali.
Cosa succede se cliccate un link del genere presente in questi tipi di messaggi? Dipende: dalla visualizzazione di un sito clone dell’ente a cui si riferisce, che punta a carpire i vostri dati personali, user e password del vostro account o estremi della carta di credito, fino all’installazione di malware di vario tipo, dal semplice spyware al più temuto ransomware.
