Il nuovo volto del phishing: come i criminali combinano CAF fasulli e telefonate per rubare dati sensibili

Il phishing si è evoluto notevolmente negli ultimi anni, passando da semplici email di truffa a strategie complesse che coinvolgono la simulazione di enti pubblici come i CAF (Centri di Assistenza Fiscale) e telefonate ingannevoli. Questo “modello unico” di attacco informatico mira a sfruttare la fiducia degli utenti verso i servizi fiscali e amministrativi per appropriarsi di dati sensibili e finanziare attività criminali. In questo articolo approfondiamo le nuove modalità operative del phishing, i segnali per riconoscerlo e forniamo consigli pratici per proteggerti efficacemente.

Cos’è il phishing e perché sta cambiando

Il phishing, nella sua accezione tradizionale, è un attacco informatico in cui il criminale cerca di acquisire dati personali o finanziari, convincendo l’utente a fornirli spontaneamente tramite email, siti web falsi, SMS o telefonate. I truffatori simulano le comunicazioni di istituzioni affidabili per creare un senso di urgenza o minaccia, inducendo la vittima a compiere azioni dannose.

Con l’aumento della digitalizzazione dei servizi fiscali e amministrativi, in particolare durante il periodo di dichiarazione dei redditi e aggiornamenti normativi, i criminali hanno iniziato a sfruttare proprio queste scadenze per lanciare campagne di phishing tematiche, sempre più credibili.

Il nuovo “modello unico” del phishing: truffe che simulano i CAF

Falsi CAF e telefonate reali

Il nuovo schema criminale si fonda sulla simulazione dei CAF, sfruttando sia email che chiamate telefoniche. Gli attaccanti:

• Inoltrano email o SMS apparentemente provenienti da un CAF, invitando a scaricare moduli, aggiornare documenti fiscali o rispondere a comunicazioni urgenti.
• Chiamano direttamente la vittima, qualificandosi come operatori CAF o agenzie fiscali e richiedendo dati personali sotto la minaccia di blocchi amministrativi, multe o sospensione di servizi.
• Invitano a cliccare su link verso siti web che riproducono fedelmente i portali ufficiali dei CAF, dove l’utente inserisce le proprie credenziali o carica la documentazione richiesta.
• In alcuni casi, “anticipano” una comunicazione cartacea realmente attesa, ad esempio la consegna del modello 730, rendendo credibilissima la richiesta di informazioni online.

Questa combinazione di canali digitali e telefonici rende l’attacco estremamente insidioso: la vittima tende a fidarsi di un contatto telefonico apparentemente professionale, specie se preceduto da una comunicazione via email o SMS.

Esempi concreti di attacco

• Ricevi un’email dal “CAF [NomeInventato]”, con logo e firma digitale contraffatti, che comunica l’urgenza di verificare i tuoi dati fiscali per non perdere benefici o agevolazioni.
• Poco dopo, ricevi una telefonata da un numero con prefisso nazionale (spesso camuffato tramite tecniche di spoofing) e un operatore, informato sui tuoi dati anagrafici basilari, ti chiede conferma del codice fiscale, indirizzo, estremi della carta d’identità o IBAN, adducendo le scadenze imminenti della dichiarazione dei redditi.
• Ti viene inviato un link apparentemente sicuro, che rimanda a un portale gemello di quello dell’Agenzia delle Entrate o di un CAF, dove vieni invitato a inserire username, password, documenti scannerizzati.

Perché questa tecnica è così efficace

• Precisione nelle informazioni: I criminali recuperano dati pubblici (ad esempio da registri o social network) per rendere la comunicazione personalizzata e verosimile.
• Tempismo perfetto: Le campagne avvengono in concomitanza con scadenze fiscali o normative, momenti in cui i cittadini sono effettivamente in attesa di comunicazioni vere dal CAF o da enti pubblici.
• Integrazione di canali: La sinergia tra email/SMS e telefonata aumenta il livello di fiducia e abbassa la soglia di sospetto.

I rischi per le vittime

• Furto d’identità: I dati sottratti vengono usati per aprire conti correnti, chiedere prestiti o compiere altri reati a nome della vittima.
• Svuotamento di conti bancari: Le credenziali ottenute vengono utilizzate per accedere ai conti online e disporre operazioni fraudolente.
• Estorsione: Il criminale può minacciare la pubblicazione di dati personali o la segnalazione di documenti falsificati alle autorità, chiedendo un riscatto.

Segnali per riconoscere un tentativo di phishing

• Email con errori grammaticali o formattazione incoerente.
• Richieste di dati sensibili via email, SMS o telefono, contrariamente alle procedure ufficiali di CAF e enti pubblici.
• Urgenza o tono minaccioso (multe, blocchi, sospensione servizi).
• Siti web con indirizzo (URL) sospetto o leggermente diverso da quello ufficiale.
• Proposte di rimborso o benefici non richiesti.

Consigli pratici per difendersi

1. Non fornire mai dati personali o bancari in risposta a email, SMS o telefonate non sollecitate

   I CAF e gli enti pubblici non chiedono mai dati riservati tramite questi canali. In caso di dubbio, ricontatta direttamente l’ente ai numeri ufficiali trovati sul sito istituzionale.

2. Controlla sempre mittenti e URL

   Passa il mouse sopra i link nelle email o negli SMS per verificare l’indirizzo reale di destinazione. In caso di anche minimo sospetto, non cliccare.

3. Usa l’identità digitale solo attraverso canali ufficiali

   Accedi ai servizi tramite il sito certificato (controlla che l’indirizzo sia preceduto da HTTPS e sia presente il lucchetto nella barra degli indirizzi).

4. Verifica le comunicazioni ricevute

   Se ricevi una richiesta insolita da un CAF o altro ente, prima di agire, cerca conferma:

   • Chiama tu il numero ufficiale.
   • Controlla nell’area privata del sito ufficiale (ad esempio Agenzia delle Entrate, INPS o il portale del tuo CAF).
5. Educa familiari e colleghi

   Spiega soprattutto a persone meno avvezze alla tecnologia (anziani, collaboratori, ecc.) come funzionano queste truffe e quali sono i segnali di allarme.

6. Utilizza soluzioni di sicurezza aggiornate

   Installa antivirus e antispyware su pc e smartphone e mantieni sempre aggiornati i sistemi operativi. Molti programmi moderni sono in grado di individuare e bloccare i siti di phishing più conosciuti.

7. Segnala i tentativi di phishing

   Inoltra le email sospette all’indirizzo antiphishing dell’ente coinvolto (ad esempio Agenzia delle Entrate, Polizia Postale) e segnala immediatamente eventuali frodi.

Cosa fare se sei rimasto vittima

• Cambia immediatamente le password dei servizi interessati.
• Segnala il fatto alla tua banca e richiedi il blocco delle carte e dei conti eventualmente violati.
• Denuncia l’accaduto alla Polizia Postale, fornendo tutte le informazioni possibili.
• Monitora costantemente i movimenti bancari e le comunicazioni ufficiali per individuare eventuali attività sospette.

Strumenti utili e risorse di approfondimento

• Siti ufficiali dei CAF e dell’Agenzia delle Entrate: Per ogni dubbio consulta solo i portali ufficiali.
• Polizia Postale: Sul sito della Polizia Postale e delle Comunicazioni trovi un elenco aggiornato delle principali campagne di phishing in corso e consigli su come proteggerti.
• Antivirus e plugin anti-phishing: Esistono estensioni per browser che avvertono quando si sta per visitare un sito potenzialmente malevolo.

Il phishing moderno sfrutta sempre di più la psicologia umana e la complessità dei servizi digitali per ingannare anche utenti evoluti. L’unica difesa reale è la consapevolezza: prendersi sempre qualche minuto per verificare la veridicità delle comunicazioni ricevute e non cedere mai alla pressione dell’urgenza. La prudenza, unita alle tecnologie di sicurezza, è la miglior barriera contro la criminalità informatica.

Mantieni la guardia alta: ogni comunicazione che chiede dati sensibili merita sempre un controllo supplementare. Così facendo, potrai difendere te stesso e i tuoi cari da truffe sempre più insidiose.

Fonte: https://www.redhotcyber.com/post/caf-phishing-e-telefonate-il-nuovo-modello-unico-del-crimine-informatico-fate-attenzione