Ancora Postepay

Pubblicato il di

Classico esempio di phishing mirato agli utenti di PostePay (la carta prepagata di Poste Italiane), una delle campagne di truffa online più frequenti in Italia negli ultimi anni.

Analisi della mail: i segnali di allarme evidenti

  1. Mittente sospetto
    • Indirizzo: Servizio Clients PostePay <noreply@postebsv2dyn.io> o simile, e nel corpo appare staff@docsnet.it / staff@docsnet.io. PostePay / Poste Italiane non usa mai domini come dedyn.io, docsnet.it, postebsv2dyn.io o varianti simili. I canali ufficiali comunicano solo da domini come @poste.it, @postepay.it, @posteitaliane.it. I domini dinamici tipo *.dyn.io o *.dedyn.io sono spesso usati dai truffatori perché gratuiti o molto economici da registrare.
  2. Contenuto tipico del phishing
    • Frasi come:
      • “per motivi di sicurezza, il tuo account PostePay è stato temporaneamente sospeso”
      • “richiede ulteriori verifiche”
      • “accedi alla tua area personale e verifica/aggiorna i dati”
      • “Una volta completata la verifica, l’account verrà riattivato” Queste sono formule standard usate da migliaia di campagne phishing PostePay dal 2018 al 2026. Poste Italiane avverte ripetutamente che non invia mai mail chiedendo di cliccare link per “verificare” o “aggiornare” dati sensibili.
  3. Pulsante “Aggiorna le informazioni” Quasi sicuramente porta a un sito falso (phishing page) che imita l’aspetto di poste.it o app.postepay.it. Lì ti verrà chiesto di inserire:
    • Username / numero carta / scadenza / CVV
    • Codice Poste ID / password
    • Eventuali codici OTP ricevuti via SMS (se il sito è avanzato, ruba anche quelli in tempo reale). Una volta inseriti, i truffatori svuotano il saldo o usano la carta per acquisti online.
  4. Footer “promozionale” contraffatto Il testo finale che cita “Poste Italiane S.p.A. con sede in Roma Viale Europa 190” e parla di App Store / Play Store è copiato pari pari dai siti ufficiali, ma serve solo a dare credibilità. Le aziende vere non inseriscono disclaimer promozionali in mail di “verifica urgente”.
  5. Urgenza psicologica Frasi come “quanto prima per evitare eventuali limitazioni” o “completata la procedura” spingono a cliccare senza riflettere: tattica classica del social engineering.

Come comportarsi (regola aurea 2026)

  • Non cliccare MAI sul pulsante o su qualsiasi link presente nella mail.
  • Non inserire dati su pagine raggiunte da email sospette.
  • Se vuoi verificare davvero: apri tu il browser, vai direttamente su https://www.poste.it o sull’app ufficiale PostePay, fai login normalmente e controlla se c’è qualche avviso.
  • Segnala la mail:
    • Inoltrala così com’è (con header) a antiphishing@posteitaliane.it
    • Poi cestina e svuota il cestino.
  • Se per caso hai già cliccato e inserito dati:
    • Blocca subito la carta dall’app o dal numero verde 800.00.33.22
    • Cambia password Poste ID
    • Denuncia alle forze dell’ordine (puoi farlo online su commissariatodips.it o in Questura).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *