La truffa con il logo Esselunga: leggi “Selezionato per un premio” ma poi rubano tutti i dati
Ogni giorno apriamo la nostra mail, spesso la maggior parte dei messaggi ricevuti sono promozioni o pubblicità, ma a volte scoviamo anche qualche informazione interessante e perfino una bella notizia. O almeno è quello che sembra. Oggi, controllando velocemente la mia casella di posta, una mail nello specifico ha attirato la mia attenzione. Il mittente era EsselungaGift e l'oggetto diceva "Avviso: la tua ricompensa è pronta per essere riscattata".
Dato che sono iscritta al programma fedeltà della nota catena di supermercati ho aperto il messaggio. Per un attimo ho creduto davvero di aver vinto un premio, invece si trattava dell'ennesimo tentativo di phishing, un tipo di truffa telematica il cui obiettivo è ingannare l'utente simulando un'azienda o un ente affidabile (uno dei nomi spesso utilizzati è quello di Poste Italiane) così da spingerlo a fornire le sue informazioni personali, compresi dati finanziari o codici di accesso a conti correnti.
Cosa dice il tentativo di phishing di Esselunga
Come spesso accade con i tentativi di phishing ciò che può ingannare l'utente è la forte credibilità del messaggio ricevuto, che imita quanto più possibile formato, stile e loghi propri dell'azienda che di volta in volta viene utilizzata come esca. Ad esempio, la truffa che simula il concorso a premi di Esselunga utilizza il logo del supermercato e nel messaggio fa riferimento al Programma Fedeltà, che difatti il supermercato propone ai suoi clienti.
Il messaggio contenuto nella mail truffa è il seguente: "Congratulazioni! Ogni settimana selezioniamo casualmente 20 utenti dal nostro sistema per partecipare a un breve sondaggio online. E tu sei stato scelto per partecipare al nostro Programma fedeltà GRATIS! Include 5 semplici domande che possono essere completate in meno di 30 secondi". In cambio, la mail promette di farmi avere un Tupperware set da 36 pezzi di cui indica anche il prezzo (99,99 euro), ma avendolo vinto per me è gratis.
Come capire che si tratta di una truffa
In realtà, guardando meglio la mail, ci sono tutti i segnali che fanno capire che il vero mittente non è Esselunga e che ci troviamo davanti a un tentativo di truffa . Per prima cosa, accanto al nome del mittente si legge la mail reale da cui il messaggio arriva. Qui chiaramente qualcosa non va. Se fosse davvero una mail da Esselunga, la mail dovrebbe avere il dominio ufficiale della catena, invece qui che leggiamo una sequenza di lettere dal significato poco chiaro e un dominio non noto.
La conferma arriva quando provo a seguire le istruzioni contenute nella mail per ricevere il premio promesso. Quando clicco "Ritira il mio regalo ora", la mail mi rimanda a una pagina dove devo tentare una sorta di gioco d'azzardo. Al terzo tentativo di gioco fallito, la pagina mi chiede di creare un account personale inserendo i miei dati. Non sono andata avanti, ovviamente, ma a quel punto era evidente che non c'era nessuno premio da ritirare, ma solo il rischio di essere truffata. In genere infatti, e questo vale per qualsiasi tentativo di truffa telematica, è bene diffidare sempre di messaggi che chiedono di premere su link per ottenere un premio o risolvere un'emergenza (come un presunto tentativo di accesso al proprio conto).
Il commento di Esselunga
Già qualche mese fa, diverse utenti avevano segnalato di aver ricevuto una mail che sembrava arrivare da Esselunga in cui veniva comunicata la vincita di un set Tupperware. In quell'occasione Fanpage.it aveva contatto direttamente l'azienda, che aveva confermato di essere "totalmente estranea all'iniziativa relativa al Set Tupperware Modular Mates da 36 pezzi", ricordando a tutti i suoi clienti che "Gli omaggi pensati da Esselunga per i propri clienti sono consultabili nella sezione "I miei buoni" dell'app, del sito Esselunga.it e dei totem presenti nei nostri negozi. Tutte le iniziative promosse da Esselunga sono rese note attraverso i canali ufficiali dell’azienda". Anche sul sito ufficiale, Esselunga spiega come difendersi dalle Frodi online e quali sono i tipici segnali che devono far sospettare che siamo vittime di un tentativo di phishing.
Cosa fare in caso di sospetto phishing
Oltre a prestare attenzione ai dettagli detti sopra, quindi controllare la mail da cui arriva il messaggio, diffidare dalle richieste di cliccare link o inserire i propri dati, è bene non condividere mai i propri codici di sicurezza né i propri dati personali. Inoltre, quando si ha qualche sospetto, non bisogna mai cliccare la mail del mittente né tanto meno i link presenti nel messaggio. Se si pensa di essere vittime di questo tipo di truffa, è importante cambiare subito le password degli account di posta elettronica inseriti, e bloccare, se sono stati condivisi, i dati personali e le eventuali carte di credito inserito, avvisando dell'episodio la Polizia Postale.
