Questa mattina, alle 11:52, mi suona il telefono. Mittente: +39 351 681 2395.
Sul display appare un messaggio allarmante:
«Non siamo in grado di consegnare il pacco a causa dell’indirizzo non valido.
Modificare l’indirizzo per la consegna tempestiva: https://business-itpostet.top/i»
A prima vista sembra un classico avviso di giacenza delle Poste Italiane, ma basta poco per capire che è l’ennesimo tentativo di phishing. Vi racconto com’è andata passo per passo – e soprattutto come riconoscere (e neutralizzare) minacce simili.
1. Il messaggio SMS: campanelli d’allarme immediati
- Numero mittente “mobile”
Le Poste inviano di solito da numerazioni brevi (tipo 431123) o da «PosteInfo». Un +39 351 non è in linea con la prassi. - Italiano stentato
«Modificare l’indirizzo per la consegna tempestiva» suona tradotto alla buona. Gli SMS ufficiali curano forma e punteggiatura. - URL sospetto
Il dominiobusiness-itpostet.topè un pasticcio: somiglia a “postepay”, “postel”, “poste.it”… ma non è nessuno di questi.
2. Il sito clone: perché è così convincente?
Per pura curiosità (con tutte le precauzioni del caso), apro il link dentro un ambiente isolato. Mi si presenta una copia quasi perfetta del portale poste.it:
- Logo, colori giallo-grigio, menù a tendina, perfino i link verso i servizi reali funzionano.
- Al centro, la sezione “Stato della consegna” mi avvisa che «il pacco è tornato al centro operativo» e mi invita a cliccare “Continua”.
La trappola vera
Il clic mi porta a un modulo intitolato “Indirizzo postale” in cui mi si chiedono:
| Dato richiesto | Perché fa gola agli attaccanti |
|---|---|
| Nome e cognome | Identità completa |
| Indirizzo, CAP, città | Profilo anagrafico (utile per altre frodi) |
| Per tentativi futuri di phishing o accesso a servizi | |
| Numero di telefono | Per truffe via SMS/WhatsApp o furto di account legati al numero |
Compilare quel form significa regalare i propri dati personali a sconosciuti.
ATTENTI !
In alcuni casi, lo step successivo chiede addirittura i dati della carta di credito per “spese di riconsegna”.
3. Perché questi attacchi funzionano
- Grafica familiare: vedo il logo giallo-Poste e abbasso la guardia.
- Urgenza artificiale: “se non aggiorni subito, il pacco resta bloccato”.
- Volume di consegne: con l’esplosione dell’e-commerce, chi non aspetta un pacco?
4. Come difendersi (e far difendere genitori e nonni)
- Controlla l’URL
Deve terminare inposte.itoposteitaliane.it, non in.top,.info,.site, ecc. - Non cliccare mai dai messaggi
Se hai davvero un pacco in arrivo, digita manualmentewww.poste.ito apri l’app ufficiale. - Verifica con il tracking ufficiale
Inserisci il numero spedizione su postemobile.it/tracking o nell’app Poste Delivery. - Diffida delle richieste di denaro o dati sensibili via SMS
Le Poste non chiedono carte di credito per “sbloccare” pacchi. - Avvisa chi è meno esperto
Un passaparola preventivo tra familiari può evitare brutte sorprese.
5. Cosa fare se hai già inserito i dati
- Blocca immediatamente la carta chiamando il numero verde della tua banca.
- Modifica le password di email e servizi collegati.
- Segnala l’SMS inoltrandolo al 7726 (servizio “spam” di molti operatori) o tramite l’app Poste Italiane → “Segnalazioni”.
- Denuncia alle autorità (Polizia Postale) allegando screenshot e ogni dettaglio utile.
Conclusioni
Il phishing evolve di giorno in giorno: grafica impeccabile, link funzionanti, domini camuffati. Ma la strategia di difesa resta semplice:
“Verifica sempre la fonte prima di agire.”
Spero che la mia disavventura vi serva da promemoria. Se avete dubbi su SMS o email sospetti, fermatevi un secondo, controllate l’indirizzo web e nel dubbio non cliccate.
Meglio un pacco il giorno dopo che un conto svuotato il giorno prima.
Ilbioss's Blog 