A partire dalla scorsa settimana, l’INPS ha dato la possibilità ad autonomi e liberi professionisti di richiedere il bonus di 600 euro previsto dal decreto “Cura Italia” per i possessori di partita IVA.
L’Istituto si è visto costretto fin da subito a fronteggiare un malfunzionamento della piattaforma dovuto al sovraccarico di richieste, che ha comportato una diffusione involontaria dei dati sensibili degli utenti.
Tuttavia, Le problematiche per coloro che hanno inoltrato la domanda non si fermano qui, infatti i criminali digitali hanno ancora una volta approfittato di una situazione di instabilità per mettere a rischio la sicurezza delle informazioni di accesso e dei codici di autenticazione degli utenti.
Un malware che invita a scaricare un’applicazione per aggiornare la richiesta
In questi giorni stanno arrivando le prime notifiche di conferma dell’avvenuta ricezione delle domande e gli attacchi hacker non si sono fatti attendere: il mezzo scelto per la truffa, in questo caso, è stato l’sms, utilizzato per invitare le persone a scaricare un’applicazione finalizzata all’aggiornamento della richiesta di bonus.
L’INPS ha provveduto immediatamente ad avvertire gli utenti, invitandoli a non aprire il link e specificando che i messaggi provenienti dall’ente non ne contengono.
I dettagli della truffa: a rischio le password inserite nei portali di web banking
La truffa in questione si configura come un’attività criminale chiamata smishing o phishing, messa in pratica inviando una comunicazione fasulla che invita la vittima a fornire informazioni, dati e codici personali.
Ad una prima analisi, il link presente all’interno dell’sms è un trojan bancario denominato “Cerberus” che, se aperto, conduce ad una pagina – molto simile a quella dell’INPS – recante un messaggio che richiede di effettuare il download dell’app per Android “covid-19.apk”. Una volta installato, il malware agisce impossessandosi delle password inserite nelle applicazioni o nei portali di web banking.
I pirati informatici, dunque, dopo aver provato a servirsi di notizie, aggiornamenti e addirittura mappe dell’epidemia, hanno di nuovo sfruttato l’emergenza sanitaria per infiltrarsi nei dispositivi. E questa volta lo hanno fatto non solo facendo leva sulle gravi problematiche economiche, ma scegliendo anche una modalità di sicura efficacia, perché piuttosto verosimile nonché difficilmente riconoscibile in un primo momento.
I consigli dell’INPS e degli esperti di cybersecurity
L’INPS e alcuni esperti di cybersecurity si sono prontamente occupati di fornire alcuni suggerimenti pratici per evitare di cadere nella trappola del malspam:
– Non scaricare mai programmi al di fuori dello store ufficiale;
– Controllare i commenti e la data di pubblicazione delle applicazioni presenti all’interno dello store ufficiale (gli hacker sono in grado di caricare versioni infette che possono permanere anche per giorni prima di essere rimosse);
– Non compiere alcuna azione richiesta all’interno di mail, sms e altre comunicazioni (i canali ufficiali inseriranno sempre informazioni statiche nel corpo del testo e non inviteranno mai a scaricare allegati o a cliccare su qualche link, poiché è risaputo che si tratta degli strumenti più diffusi nel mondo della criminalità informatica).