Sta circolando una nuova campagna di smishing che sfrutta il nome dell’INPS per ingannare gli utenti con la promessa di un presunto bonus carburante. Il messaggio, costruito per sembrare credibile, punta a sottrarre dati personali e informazioni bancarie, con l’obiettivo finale di svuotare la carta di credito della vittima.
La truffa è stata analizzata dagli esperti del CERT-AgID, che hanno rilevato più campagne attive in grado di usare domini differenti e pagine web quasi identiche a quelle istituzionali. Il meccanismo è semplice ma efficace: si invita l’utente a cliccare su un link e a compilare un modulo per ottenere un fantomatico sussidio statale.
Falso bonus carburante INPS: come funziona la truffa
Il messaggio fa leva su un tema molto sensibile, quello dei rincari di benzina e diesel, e promette un contributo economico di 300 euro. In realtà non esiste alcun nuovo bonus carburante attivo da parte dello Stato: il sostegno da 200 euro citato nelle comunicazioni truffaldine era un beneficio destinato ai lavoratori dipendenti e non è più disponibile. L’obiettivo dei criminali è spingere l’utente ad agire in fretta, senza verificare la fonte.
La pagina fraudolenta riproduce in modo convincente lo stile grafico del sito INPS e chiede di inserire dati anagrafici come nome, indirizzo, città, CAP e numero di telefono. Successivamente viene richiesto di indicare i dati della carta di credito per ricevere un presunto accredito rapido. È proprio in questa fase che la truffa diventa più pericolosa, perché i dati raccolti possono essere usati per acquisti non autorizzati o per altre frodi digitali.
Perché la truffa è pericolosa per i dati bancari
Oltre alle informazioni personali, i truffatori puntano a ottenere numero della carta, data di scadenza, nome del titolare e codice CVV. In alcuni casi la campagna sfrutta piattaforme pensate per intercettare anche i codici OTP, cioè i codici inviati via SMS o app per confermare i pagamenti. Se la vittima inserisce tutto senza sospettare nulla, l’operazione può essere autorizzata e completata in pochi istanti, anche con il secondo fattore di sicurezza attivo.
Secondo il CERT-AgID, gli elementi tecnici osservati sono compatibili con Darcula, una piattaforma di phishing già nota agli esperti di sicurezza. Questo conferma che non si tratta di un caso isolato, ma di una campagna organizzata e adattabile, capace di cambiare domini e contenuti per aggirare i controlli e colpire un numero elevato di utenti.
Come difendersi dal phishing INPS
Il primo passo è non fidarsi di messaggi che promettono bonus, rimborsi o sussidi inattesi, soprattutto se chiedono dati personali o bancari. È importante non cliccare sui link presenti negli SMS e cancellare subito il messaggio, perché non proviene dall’INPS. In caso di dubbio, conviene accedere ai servizi solo tramite i canali ufficiali dell’ente, digitando manualmente l’indirizzo nel browser o usando l’app istituzionale.
Se hai già inserito informazioni sensibili, contatta immediatamente la banca per bloccare la carta e controlla eventuali movimenti sospetti. Segnala anche il caso alle autorità competenti e conserva ogni dettaglio utile, come il testo del messaggio o l’indirizzo del sito falso. La prudenza resta l’arma più efficace contro questo tipo di frodi, che sfruttano urgenza, fiducia e distrazione per colpire.
