Un nuovo allarme per gli utenti italiani: circola un sms truffa che avvisa di un pedaggio autostradale “non pagato”, invitando a cliccare su un link per saldare. Il messaggio appare inviato da Autostrade per l’Italia, ma l’azienda conferma di non averlo mai spedito.
Si tratta di una campagna di phishing che segue la strategia definita “spray and pray”: decine di migliaia di dispositivi vengono bombardati con lo stesso messaggio nella speranza che un numero sufficiente di persone cada nella trappola.
I truffatori puntano su piccoli importi e sulla fretta degli utenti, sfruttando il fatto che molti percorrono tratti autostradali ogni giorno. La sensazione di urgenza aumenta le probabilità che il destinatario non verifichi la legittimità del messaggio.
Gli sms truffaldini spesso provengono da numeri esteri e non riportano dettagli concreti: mancano data, luogo dell’infrazione e, talvolta, anche l’importo richiesto. Queste caratteristiche sono segnali chiave per riconoscere la truffa.
Chi clicca sul link viene reindirizzato verso un sito web fake, molto simile a quello ufficiale di Autostrade per l’Italia. Inserendo dati personali e numeri di carte di credito o debito, le informazioni vengono raccolte dai cyber criminali per clonazione di carte e furto di identità.
Alcune varianti del phishing installano inoltre malware o spyware sui dispositivi, capaci di raccogliere informazioni sensibili. Questi software sono reperibili sul dark web e venduti da criminali esperti a chi vuole usarli per truffare le vittime.
Per proteggersi, è fondamentale non cliccare sui link sospetti. È consigliato fare uno screenshot del messaggio e segnalarlo alla Polizia Postale tramite la pagina web dedicata alle segnalazioni.
Chi usa app ufficiali per il pagamento dei pedaggi può verificare direttamente se ci sono comunicazioni autentiche, mentre chi ha cliccato per errore deve contattare immediatamente la banca e denunciare l’accaduto a Polizia o Carabinieri.
Le truffe via sms e app di messaggistica condividono elementi comuni: urgenza, minaccia di sanzioni e link simili a quelli ufficiali. Prima di inserire dati sensibili, conviene sempre verificare mittente, link e contattare direttamente l’organizzazione coinvolta.