False fatture via PEC, attenzione all’ultima truffa: come funziona e come difendersi
L’Agenzia delle Entrate ha segnalato una nuova campagna di phishing che prende di mira professionisti, imprese e contribuenti attraverso una mail via PEC. I cybercriminali sfruttano il tema delle fatture elettroniche e inviano messaggi che sembrano provenire da soggetti affidabili, con l’obiettivo di indurre le vittime a cliccare su allegati che in realtà sono link malevoli.
Il fenomeno utilizza cioè uno strumento considerato generalmente sicuro come la Posta Elettronica Certificata. Proprio per questo motivo il rischio è che molti destinatari abbassino la guardia e considerino come autentiche comunicazioni che in realtà nascondono tentativi di furto di dati personali, credenziali e informazioni aziendali sensibili.
Come funziona la truffa delle false fatture via PEC
Come accennato, il nuovo tentativo di phishing fa riferimento a presunte fatture elettroniche o ad allegati fiscali da consultare. Il messaggio via PEC veicolano un archivio compresso che fa da contenitore a un file in formato HTML.
La truffa è studiata per funzionare solo su sistemi Windows. Se si tenta di aprire i falsi documenti da un altro sistema operativo, da smartphone o da tablet compare infatti un messaggio d’errore.
Al punto che i truffatori invitano nel corpo della mail “a utilizzare un PC per accedere e scaricare il documento”. E ancora: “Il nostro team sta lavorando per rendere disponibile la funzione anche su dispositivi mobili nel più breve tempo possibile”.
Se dunque si clicca sull’allegato da Windows, si crea un pulsante che invita a scaricare la fantomatica fattura. Il link non è visibile nel file e appare solo passando il cursore del mouse sul riquadro. Cliccando si attiva il raggiro. L’utente viene reindirizzato a un sito che avvia il download e l’esecuzione di script PowerShell, in grado di compromettere il dispositivo.
Perché la PEC non garantisce che il messaggio sia autentico
Molti utenti tendono a considerare ogni comunicazione ricevuta tramite PEC come automaticamente sicura. In realtà non è così. La posta certificata garantisce l’integrità e la tracciabilità della comunicazione, ma non impedisce che una casella venga compromessa oppure utilizzata in modo fraudolento da soggetti terzi.
Negli ultimi mesi gli esperti di cybersicurezza hanno registrato un aumento delle campagne di phishing che sfruttano proprio account PEC violati o creati appositamente per attività illecite.
Come riconoscere una falsa mail dell’Agenzia delle Entrate
Esistono alcuni segnali che possono aiutare a individuare una comunicazione sospetta. Suonerà banale ribadirlo, ma occorre prestare particolare attenzione quando il messaggio:
- invita ad aprire allegati inattesi;
- richiede dati personali o bancari;
- contiene link da cliccare con urgenza;
- segnala presunti problemi fiscali da risolvere immediatamente;
- utilizza toni allarmistici o minacciosi.
L’Agenzia delle Entrate ricorda che le comunicazioni ufficiali non chiedono mai tramite mail ordinarie o PEC password, coordinate bancarie, codici di accesso o altri dati riservati. Inoltre sul proprio portale esiste una sezione dedicata alle campagne di phishing segnalate dagli utenti.
Cosa fare se si riceve una PEC sospetta
Il consiglio principale è altrettanto semplice e apparentemente scontato: non aprire allegati e non cliccare sui collegamenti presenti nel messaggio. In caso di dubbio è opportuno confrontare il contenuto ricevuto con gli avvisi pubblicati sul sito delle Entrate.
Se il messaggio appare sospetto, la soluzione più prudente consiste nell’eliminarlo immediatamente senza interagire con il contenuto.
Particolare attenzione deve essere prestata da studi professionali, imprese e titolari di partita Iva, che utilizzano quotidianamente la fatturazione elettronica e possono pertanto risultare bersagli particolarmente appetibili per i truffatori.
