Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

L’ANALISI TECNICA

“L’omessa dichiarazione dei redditi ha conseguenze penali”: ma è smishing a tema INPS

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Indirizzo copiato

È stata identificata una campagna di smishing a tema INPS che, a differenza di truffe precedenti che promettevano rimborsi e benefici fiscali, minaccia conseguenze penali per omissione nella dichiarazione dei redditi di ignare vittime. Come riconoscere la trappola e come evitarla

Aggiornato il 3 mar 2025
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Smishing a tema INPS

Il CERT-AgID ha recentemente individuato una nuova campagna di smishing che prende di mira gli utenti dell’INPS, distinguendosi per l’approccio intimidatorio adottato.

A differenza di precedenti truffe che promettevano benefici o rimborsi, infatti, questa nuova frode minaccia gli utenti con presunte conseguenze penali per omissioni nella dichiarazione dei redditi.

Fonte: CERT-AgID.

Dettagli della campagna di smishing

Le vittime ricevono degli SMS apparentemente ufficiali dall’INPS, contenenti un link che reindirizza a una pagina web fraudolenta. Qui, un pop-up avvisa l’utente di una presunta mancanza nella dichiarazione dei redditi, minacciando conseguenze penali in caso di inadempienza.

Fonte: CERT-AgID.

La pagina web ingannevole (raggiungibile all’indirizzo “https://inps[.]io” e che non ha nulla a che fare con l’istituto previdenziale il cui sito legittimo è, invece, questo https://www.inps.it), replica loghi e design ufficiali dell’INPS, richiedendo l’inserimento di dati personali e il caricamento di documenti sensibili come carta d’identità, tessera sanitaria, patente di guida e copie delle ultime buste paga.

Fonte: CERT-AgID.

Possibili conseguenze

I dati raccolti potrebbero essere utilizzati per attività illecite, avverte il CERT-AgID, tra cui la creazione di identità digitali SPID a nome della vittima.

Ciò permetterebbe ai truffatori di accedere a servizi pubblici e modificare informazioni sensibili, come l’IBAN associato a pagamenti, dirottando stipendi o pensioni su conti da loro controllati.

Raccomandazioni per gli utenti

L’INPS ha più volte sensibilizzato gli utenti sull’importanza di essere vigili e di non condividere dati personali attraverso canali non ufficiali. Rimanere informati e adottare misure preventive è fondamentale per proteggersi.

Al riguardo, il CERT-AgID consiglia di:

  1. Verificare l’origine dei messaggi, diffidando delle comunicazioni che richiedono l’inserimento di dati personali tramite link.
  2. Controllare l’URL del sito, assicurandosi che l’indirizzo visualizzato nel browser corrisponda al dominio ufficiale dell’INPS (https://www.inps.it).
  3. Segnalare messaggi sospetti, inviando le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it.

Smishing a tema INPS e truffa Safeguard

Aggiornamento del 2 marzo 2025

In questi giorni è attiva anche un’altra truffa online in cui i criminali informatici starebbero sfruttando il nome del noto servizio Safeguard per la sicurezza delle transazioni delle criptovalute, accessibile tramite la piattaforma di messaggistica Telegram, per indurre le vittime tramite due bot fraudolenti a scansionare un QR code per abilitare l’accesso da un nuovo dispositivo, con lo scopo in realtà solo di permettere ai criminali l’accesso ai loro account.

Come riportato nell’ultima comunicazione del Cert-AgID, Il dominio safeguard-telegram[.]net collegato ai due bot risulterebbe correlato al dominio usato per la campagna smishing a tema INPS.

Visitando direttamente tramite browser l’indirizzo IP (93.115.172[.]191/) riportato nel file XML di configurazione del dominio in questione (safeguard-telegram), la pagina che si presenta è esattamente quella propinata  per la truffa INPS (inps[.]io).

Sempre secondo gli esperti del CERT-AgID: “La truffa Safeguard e il collegamento alla truffa INPS mettono in luce come questo gruppo di criminali informatici stia sfruttando contemporaneamente due tipologie distinte di frodi per ottenere accesso alle informazioni delle vittime”.

Smishing a tema Poste Italiane: i dettagli e come difendersi

Cosa fare se si è rimasti vittima della truffa

Lo smishing, lo ricordiamo, è una variante del phishing, dove i truffatori inviano messaggi di testo (SMS) al posto delle e-mail. Questi messaggi contengono link a siti web fraudolenti che richiedono di inserire dati personali, come credenziali di accesso o informazioni bancarie.

Se abbiamo cliccato su un link sospetto e fornito le nostre informazioni personali, è importante agire rapidamente:

  • Contattando immediatamente la propria banca per bloccare eventuali transazioni fraudolente.
  • Cambiando le password dei propri account online, soprattutto quelli legati ai servizi finanziari.

Segnalando l’incidente alla Polizia e all’INPS per ricevere assistenza e prevenire ulteriori danni.

Originariamente pubblicato il 28 feb 2025
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Salvatore Lombardo
Funzionario informatico, Esperto ICT, Socio Clusit e autore

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Pulsedive: accesso rapido e contestualizzato a dati di threat intelligence

  • estensioni del browser

    Pulsedive: per l'accesso rapido e contestualizzato a dati di threat intelligence

    11 Apr 2025

    di Matteo Cuscusa

    Condividi
  • European Media Freedom Act (Emfa): il regolamento europeo sulla libertà dei media, i legami con la privacy

  • normative europee

    European Media Freedom Act, il regolamento UE sulla libertà dei media: i legami con la privacy

    04 Nov 2025

    di Pasquale Mancino

    Condividi
  • Ransomware ESXi, falso password manager KeePass sotto attacco: come proteggersi

  • sicurezza nazionale

    Ransomware, una legge per vietare il pagamento dei riscatti: utile, ma non basta

    08 Mag 2025

    di Marco Tullio Giordano

    Condividi
  • Out of distribution (Ood): come riconoscere quando l'AI non sa; Dall'entusiasmo all'adozione strategica: un framework

  • INTELLIGENZA ARTIFICIALE

    Out of Distribution (OoD): cos'è e come riconoscere quando l'AI non sa

    03 Lug 2025

    di Vincenzo Calabrò

    Condividi