Phishing sulla Tessera Sanitaria: come funziona la truffa
La campagna fraudolenta, individuata dal CERT-AGID, sfrutta due leve psicologiche particolarmente efficaci: il senso di urgenza e l’autorevolezza della comunicazione. Il funzionamento è semplice: la vittima riceve un’email che segnala l’imminente scadenza della Tessera Sanitaria, prospettando possibili disservizi o limitazioni nell’accesso alle cure. Il messaggio invita ad agire rapidamente, spingendo a cliccare su un pulsante come “Rinnova ora la tua tessera”, progettato per indurre una reazione immediata.
Cliccando sul collegamento, l’utente viene reindirizzato a una pagina creata per la raccolta di dati personali, ospitata su un dominio dal nome rassicurante ma fuorviante, latesserasanitaria[.]com. Qui viene richiesto di compilare un modulo dettagliato con dati anagrafici, data di nascita, indirizzo di residenza, numero di telefono ed email, simulando una procedura del tutto normale. Si tratta di informazioni sensibili che, una volta sottratte, possono essere utilizzate per furti d’identità, clonazione di documenti o immesse nei circuiti illegali di compravendita dei dati, favorendo ulteriori frodi e truffe.
Per non cadere in questo tipo di raggiro è importante ricordare che, alla scadenza della Tessera Sanitaria (che ha una validità di sei anni), l’Agenzia delle Entrate provvede automaticamente all’invio di una nuova tessera all’indirizzo di residenza presente nell’Anagrafe Tributaria. Non è previsto alcun rinnovo tramite email, nessun link da cliccare e nessuna richiesta di dati personali attraverso pagine raggiungibili da messaggi non sollecitati.
Il CERT-AGID – la struttura tecnica nazionale che supporta le pubbliche amministrazioni nella gestione delle minacce informatiche – ha attivato le procedure di allerta, informando il Ministero della Salute e le strutture di sicurezza del Ministero dell’Economia e delle Finanze. Contestualmente ha richiesto la disattivazione del dominio utilizzato per la truffa e ha condiviso con le organizzazioni accreditate gli indicatori di compromissione, come indirizzi web ed elementi tecnici dell’attacco, per consentire il rapido blocco della campagna di phishing in corso.