I truffatori non si fermano più all’email ordinaria: ora i messaggi di phishing vengono recapitati anche sulla Posta Elettronica Certificata, un canale che molti considerano sicuro per definizione. Ecco come riconoscere il tentativo e cosa fare.
Cosa sta succedendo
Negli ultimi giorni sta circolando una nuova campagna di phishing che sfrutta il nome di Klarna, il noto servizio di pagamento rateale “Buy Now Pay Later”. Il messaggio, apparentemente autentico, ha come oggetto:
“Klarna: Avviso di sicurezza – Verifica i tuoi dati”
Fin qui niente di nuovo: le email di phishing che imitano Klarna, PayPal, banche e corrieri sono ormai all’ordine del giorno. La novità preoccupante, tuttavia, è che questo messaggio è stato ricevuto direttamente su una casella PEC (Posta Elettronica Certificata).
Perché la PEC non è immune dal phishing
Molti professionisti, aziende e privati sono convinti che la PEC sia un sistema di comunicazione intrinsecamente sicuro e affidabile. In parte è vero: la PEC certifica la consegna e l’integrità del messaggio, garantisce l’identità del gestore e ha valore legale. Ma attenzione: la PEC non è immune dal phishing.
Ecco perché:
- Chiunque possieda una casella PEC può inviare messaggi a qualsiasi altra casella PEC. Non è richiesto che il mittente sia chi dice di essere.
- La certificazione riguarda la trasmissione, non il contenuto: un messaggio phishing recapitato tramite PEC è comunque un messaggio phishing.
- Il destinatario, abituato a considerare la PEC un canale “ufficiale”, può abbassare la guardia più facilmente rispetto a una normale email.
- I truffatori sfruttano consapevolmente questa percezione di maggiore affidabilità per aumentare le probabilità che la vittima clicchi sul link.
Come è fatto il messaggio truffaldino
Il messaggio analizzato presenta tutti i classici segnali del phishing, rivestiti in una veste grafica curata per sembrare comunicazione ufficiale di Klarna:
- Logo e colori autentici: il rosa e il nero del brand Klarna vengono riprodotti fedelmente per dare un’impressione visiva di ufficialità.
- Tono urgente ma rassicurante: “La tua sicurezza è la nostra priorità”, “passaggio rapido”, “proteggere le tue transazioni”. Frasi progettate per indurre il lettore ad agire immediatamente senza ragionare.
- Pulsante call-to-action ben visibile: il bottone “Verifica ora” è progettato per essere cliccato d’istinto. In realtà conduce a un sito fake che raccoglie le credenziali della vittima.
- Minaccia velata: “Se non hai richiesto questa modifica, ti preghiamo di agire subito”. Una frase classica del phishing per generare panico e spingere a cliccare.
- Firma generica: “Il Team di Sicurezza Klarna”. Klarna, come qualsiasi istituto finanziario serio, non chiede mai la verifica dei dati tramite email o PEC con un semplice pulsante.
⚠️ SEGNALI DI ALLARME: COME RICONOSCERLO
- Il messaggio non ti chiama per nome: usa solo “Gentile Cliente”.
- Non viene specificato quale dato va verificato né da quale account.
- La richiesta arriva senza che tu abbia fatto nulla: nessuna modifica, nessun accesso sospetto.
- Il pulsante non mostra l’URL di destinazione: prima di cliccare, passa il cursore sopra per vedere dove porta davvero.
- Nessun riferimento al tuo numero di ordine, al tuo nome o agli ultimi 4 cifre del conto.
Cosa fare se hai ricevuto questo messaggio
Se hai ricevuto un messaggio simile, segui queste indicazioni:
- Non cliccare sul pulsante “Verifica ora”: o su qualsiasi link presente nel messaggio.
- Non inserire nessun dato personale: su pagine raggiunte tramite link in email o PEC sospette.
- Accedi al tuo account Klarna direttamente: digitando l’indirizzo nel browser (klarna.com) senza passare da link nel messaggio.
- Segnala il messaggio come spam/phishing: al tuo gestore PEC e, se vuoi, al CERT-AGID (cert-agid.gov.it) per contribuire a bloccare la campagna.
- Se hai già cliccato e inserito dati: contatta immediatamente il supporto Klarna, cambia la password e monitora i tuoi movimenti finanziari.
Un fenomeno in crescita: perché la PEC diventa un vettore d’attacco
Fino a qualche anno fa il phishing si concentrava quasi esclusivamente sulle email ordinarie. I criminali informatici stanno però diversificando sempre di più i canali di attacco, sfruttando ogni mezzo che possa aumentare la credibilità del messaggio agli occhi della vittima. La PEC offre un vantaggio psicologico enorme: il destinatario sa che la PEC è usata per comunicazioni ufficiali – contratti, atti legali, comunicazioni con la pubblica amministrazione – e tende a fidarsi di più.
Questo rende il phishing via PEC potenzialmente più pericoloso del phishing tradizionale. È fondamentale che professionisti, aziende e chiunque utilizzi una casella PEC sappia che questo canale non garantisce l’autenticità del mittente né la legittimità del contenuto.
In sintesi
La regola d’oro rimane sempre la stessa, qualunque sia il canale utilizzato:
Nessuna banca, nessun servizio di pagamento, nessun operatore di telecomunicazioni ti chiederà mai di verificare i tuoi dati cliccando su un link ricevuto per email o PEC.
Se ricevi messaggi del genere, cancellali e, in caso di dubbio, contatta direttamente l’azienda attraverso i canali ufficiali che trovi sul loro sito.