È arrivata nelle ultime ore una mail dall’aspetto particolarmente curato e ingannevole: in apparenza sembra una comunicazione ufficiale della Social Security Administration, l’ente previdenziale del governo degli Stati Uniti d’America. Il logo è quello istituzionale autentico, la grafica è professionale, il testo è in inglese formale. Ma si tratta di un tentativo di phishing — e i segnali per smascherarlo sono chiari, a patto di sapere dove guardare.
Com’è fatta la mail truffa
La mail si presenta con queste caratteristiche:
- Mittente apparente: “Social Security Statement”
- Indirizzo reale del mittente:
olacademicsupport@cuonlineedu.in— un dominio indiano (.in) appartenente a un’istituzione accademica online, completamente estraneo al governo statunitense - Oggetto: “Notice: Updated Social Security Administration Statement”
- Grafica: utilizza il sigillo ufficiale della Social Security Administration con aquila, scudo USA e scritta circolare — copiato da materiali governativi reali per sembrare autentico
- Testo: informa il destinatario che un “aggiornamento del Social Security Statement” è disponibile per la revisione tramite un “secure digital viewer”
- Pulsante: “View My Statement” — collegato a una pagina esterna fraudolenta
- Avviso in rosso: un disclaimer di “confidenzialità” che invita a non condividere la mail — tecnica psicologica per conferire credibilità e urgenza
Perché è una truffa (e non una comunicazione reale)
Tre elementi la smascherano in modo inequivocabile:
- Il mittente è un dominio indiano, non governativo. La Social Security Administration è un ente federale americano e comunica esclusivamente da indirizzi con dominio
@ssa.gov. Un indirizzo@cuonlineedu.innon ha alcun collegamento con il governo degli Stati Uniti — né con quello italiano. - La Social Security Administration non riguarda i cittadini italiani. Questo ente gestisce le pensioni e i contributi previdenziali dei lavoratori negli USA. Una comunicazione di questo tipo indirizzata a utenti in Italia è già di per sé priva di qualsiasi senso logico — a meno che il destinatario non abbia effettivamente lavorato e contribuito al sistema previdenziale americano, nel qual caso le comunicazioni arrivano per posta ordinaria o tramite il portale ufficiale
my.ssa.gov, mai via email non richiesta. - La tecnica del “documento riservato” è un classico del phishing. Il disclaimer in rosso che chiede di “non condividere questa comunicazione” è un espediente psicologico per dare urgenza e importanza alla mail, inducendo il destinatario ad agire in fretta senza pensare.
Cosa vogliono davvero i truffatori
Il pulsante “View My Statement” reindirizza quasi certamente a una pagina che richiede di inserire dati personali — nome, indirizzo, codice fiscale, numero di previdenza sociale, o i dati di una carta di pagamento. L’obiettivo è il furto di identità e/o di dati finanziari. In alcuni casi queste pagine installano anche malware sul dispositivo del visitatore.
Questo tipo di phishing che impersona enti governativi stranieri è particolarmente insidioso perché molte persone non conoscono con precisione i canali di comunicazione ufficiali di questi enti e possono essere tratte in inganno dalla grafica professionale.
Cosa fare e cosa NON fare
| ✅ FARE | ❌ NON FARE |
|---|---|
| Segnalare la mail come spam/phishing nel client di posta ed eliminarla | Cliccare sul pulsante “View My Statement” o su qualsiasi link presente nella mail |
| Verificare sempre l’indirizzo reale del mittente (non solo il nome visualizzato) | Inserire dati personali, credenziali o dati di pagamento nelle pagine a cui rimanda la mail |
Ricordare che enti governativi USA comunicano solo da domini .gov | Lasciarsi ingannare dalla grafica professionale: il logo autentico può essere copiato da chiunque |
| Segnalare la mail all’Ufficio IT se ricevuta su una casella aziendale | Rispondere alla mail o contattare il mittente |
| Dubitare di qualsiasi mail non richiesta da enti stranieri, specialmente se chiede di “verificare dati” | Farsi condizionare dal disclaimer “riservato”: è una tecnica psicologica per abbassare la guardia |
La regola d’oro: controlla sempre il dominio del mittente
Il nome visualizzato di un mittente (es. “Social Security Statement”, “Aruba S.p.A.”, “Microsoft Support”) può essere impostato liberamente da chiunque e non prova nulla. L’unica informazione affidabile è il dominio dell’indirizzo email reale, visibile aprendo i dettagli del mittente nel client di posta. Le regole da ricordare:
- Enti governativi USA → solo
@nomeente.gov - Enti italiani (INPS, Agenzia delle Entrate, ecc.) → solo
@inps.it,@agenziaentrate.gov.it, ecc. - Provider di servizi (Aruba, Register.it, ecc.) → solo il dominio ufficiale del provider
- Banche → solo il dominio ufficiale della banca (
@bancaintesa.it, non varianti)
Qualsiasi discrepanza tra nome visualizzato e dominio reale è già di per sé un segnale di allarme che dovrebbe portare a cestinare la mail senza ulteriori interazioni.