Aumento del Phishing tramite SMS: falsi pagamenti in circolazione

Negli ultimi tempi, una massiccia campagna di phishing ha preso piede, ingannando gli utenti con messaggi SMS e iMessage che fingono di provenire da E-ZPass (un sistema di riscossione elettronica del pedaggio utilizzato negli Stati Uniti). L’obiettivo di questi tentativi fraudolenti è quello di ottenere informazioni personali e dettagli sensibili, come numeri di carte di credito, indirizzi e-mail e fisici, utilizzando siti web che sembrano legittimi ma sono in realtà creati per truffare le vittime.

Questi messaggi, che provengono da numeri apparentemente casuali, contengono link che rimandano a portali fasulli simili a quelli di E-ZPass, The Toll Roads, FasTrak, Florida Turnpike e altre agenzie di pedaggio. L’intento dei truffatori è quello di spingere gli utenti a inserire i propri dati, minacciando conseguenze come multe o la sospensione della patente se non si effettua un pagamento entro un breve lasso di tempo.

Nonostante l’allerta lanciata dall’FBI nel 2024, è stato ha segnalato una preoccupante impennata di queste truffe, con un numero crescente di messaggi in circolazione. Questi messaggi appaiono più difficili da intercettare dai filtri anti-spam e sfruttano piattaforme di phishing-as-a-service come Lucid, che consente ai truffatori di inviare grandi volumi di SMS criptati tramite iMessage e RCS, eludendo le tradizionali protezioni.

Un linguaggio allarmante

I messaggi fraudolenti utilizzano un linguaggio urgente, indicando che un pagamento deve essere effettuato in breve tempo per evitare sanzioni. Un esempio tipico recita: "Il pagamento del pedaggio per E-ZPass deve essere saldato entro il 4 aprile 2025. Per evitare multe e la sospensione della patente, si prega di pagare prima della scadenza". Questi testi spingono i destinatari ad agire rapidamente, creando una falsa sensazione di urgenza.

Anche se i messaggi provenienti da numeri sconosciuti vengono automaticamente bloccati da Apple iMessage, i truffatori cercano di aggirare questa protezione invitando gli utenti a rispondere ai messaggi, rendendo i link cliccabili. Una volta cliccato il link, l'utente viene indirizzato a un sito di phishing che replica perfettamente quello di E-ZPass, ma con l’unica differenza di un URL sospetto.

Se si riceve uno di questi messaggi, è importante non rispondere, ma bloccare e segnalare il numero, così da contribuire a prevenire futuri attacchi. In caso di dubbi riguardo ai pagamenti, è sempre meglio visitare direttamente il sito web ufficiale dell'autorità di pedaggio per verificare eventuali saldi in sospeso.