Come si configurano le truffe architettate tramite IT-Alert e come evitarle

Tra le minacce informatiche più comuni c’è da sempre il phishing , ossia l’uso di link malevoli allo scopo di sottrarre credenziali e/o altre informazioni riservate alle vittime: nel 2021, stando ad alcuni dati, quasi un attacco su cinque è stato di questo tipo. Nel tempo anche chi ha meno familiarità con gli ambienti digitali ha imparato a diffidare così di email che chiedono di reimpostare le credenziali di accesso all’home banking, SMS che avvisano di spedizioni a proprio nome in giacenza da tempo, qr code che rimandano a siti di dubbia natura (una delle ultime frontiere del phishing sembra essere il cosiddetto “QRishing”). Da qualche tempo, però, in Italia gli esperti di sicurezza digitale mettono in guardia da un altro potenziale pericolo: le truffe tramite IT-Alert.

I test sul nuovo sistema nazionale di allarme pubblico sono diventati un’occasione per fare phishing

IT-Alert è il nuovo sistema nazionale di allarme pubblico. Quando entrerà ufficialmente in funzione permetterà alla Protezione Civile di avvisare tutte le persone che si trovano in una specifica area in caso di gravi emergenze o catastrofi imminenti o in corso.

Al momento, per la fase di test, è previsto che chi si trovi nelle regioni coinvolte riceva una notifica push sullo schermo dello smartphone, accompagnata da un segnale sonoro e da un link che conduce a un questionario da compilare per aiutare gli sviluppatori a perfezionare il servizio o per segnalare problemi.

È proprio il modo in cui lo si sta testando – un messaggio informativo da inviare a tutti gli smartphone che si trovano in una determinata area geografica, più un link da seguire per perfezionare la prova – che avrebbe dato adito a diversi tentativi di truffe tramite IT-Alert.

Alcune testate nazionali hanno segnalato episodi spiacevoli avvenuti durante le prove effettuate, a date sfalsate, nelle diverse regioni italiane¹.

Qualche malintenzionato ne ha approfittato per recapitare messaggi di testo contenenti informazioni e link facili da scambiare per quelli ufficiali della Protezione Civile, complice anche la novità e la poca familiarità con il sistema d’allarme, e che conducevano a siti poco sicuri e usati quasi sempre per il furto di credenziali e informazioni.

Come evitare le truffe tramite IT-Alert

I consigli per evitare le truffe tramite IT-Alert non sono molto diversi da quelli che aiutano a tutelare la riservatezza dei propri dati personali, l’incolumità dei propri dispositivi e più in generale la propria sicurezza digitale quando si scrollano i social, si controllano le email, si chatta sulle app di messaggistica istantanea preferite.

Evitare di aprire messaggi con mittenti sconosciuti e, soprattutto, di seguire link e scaricare allegati eventualmente contenuti è il primo passo fondamentale per mantenere al sicuro le proprie informazioni e i propri device. Se è possibile, gli stessi messaggi andrebbero segnalati come spam.

Nel caso specifico del sistema IT-Alert può essere utile considerare che

• in questa fase di test si riceve una notifica push sullo schermo dello smartphone e non un messaggio di testo indirizzato alla propria utenza telefonica: eventuali SMS ricevuti come presunta prova di funzionamento del nuovo sistema di allarme pubblico sono tentativi di phishing;
• la notifica contiene informazioni generali su cos’è e come funziona IT-Alert e perché si sta ricevendo in quel preciso momento un avviso anche sonoro ed è scritta in due lingue, italiano e inglese. Andrebbe fatta attenzione, quindi, quando si ricevono messaggi solo in italiano o – ma è più raro – solo in inglese e alla correttezza grammaticale del testo: spesso i messaggi di phishing si possono riconoscere, proprio, da una forma imperfetta e poco curata;
• l’unico modo per interagire con la notifica di IT-Alert dopo averla ricevuta è fare tap sul tasto “OK” e, per chi lo vuole, cliccare sul link che conduce al questionario da compilare;
• cliccando sul link si viene rimandati a una pagina del sito ufficiale di IT-Alert² dove vanno inserite informazioni come la città da dove si è ricevuta la notifica, la marca dello smartphone e il proprio gestore telefonico. Il questionario legato al nuovo sistema di allarme pubblico italiano non richiede alcun tipo di informazione personale come soprattutto indirizzi email e/o credenziali d’accesso a SPID e altri sistemi per l’identità digitale.