Secondo voi è un phishing?

[SuperSandro]

SPOLIER: NON è phishing, ma un indirizzo gestito direttamente da INPS (vedi ultimi post)


Ho ricevuto una mail che segnalava un tentativo di accesso al mio account INPS (tramite uno SPID Namirial che non è mio) in seguito a ben sei tentativi.
Ovviamente ho provato a fare una ricerca su quell'indirizzo ma non sembrerebbero esserci notizie in merito.
Ho quindi inviato una mail circostanziata, alla quale hanno risposto così:
-------------------------
Gentile utente,
l'accesso al nostro portale a cui si riferisce la comunicazione è stata effettuata con un'identità digitale SPID a lei intestate rilasciata da Namirial
Se non ha mai richiesto tale identità digitale la invitiamo a:
* denunciare alle autorità il furto di identità ea inviarcene copia unitamente alla copia di un suo documento di identità;
* comunicarci di quale identità digitale è legittimamente in possesso (identity provider emittente);
* comunicarci il suo codice fiscale;
* contattare l'identity provider che ha emesso l'identità abusiva per avere la documentazione esibita per la richiesta dell'identità digitale emessa a suo nome.
La informiamo comunque che l'accesso con SPID Namirial non è andato a buon fine in quanto, chi ha effettuato il tentativo, non ha ottenuto il codice che le è stato inviato per email e/o sms, necessario per accedere ai servizi INPS.
Cordiali saluti
INPS – Istituto Nazionale della Previdenza Sociale
Area Sicurezza ICT
-------------------------
Sono andato presso una sede della Polizia, ma si sono rifiutati di accettare la mia denuncia in quanto (ipse dixit!) non si è verificato alcun reato dato che non c'è stato un furto di identità ma solo(!) un tentativo di accesso e quindi non è possibile fare denuncia. Inoltre l'INPS non ha il diritto di far richiedere una denuncia.

A parte le polemiche, secondo voi che cosa è successo? Devo preoccuparmi?

 

[Dumah Brazorf]

Non un tentativo, qualcuno è proprio entrato usando lo spid. Ma poi è arrivata anche una mail o un sms con questo codice?
Quindi tu hai un account inps? Ci sei mai entrato? In che modo?
Hai lo spid?

 

[SuperSandro]

Non un tentativo, qualcuno è proprio entrato usando lo spid. Ma poi è arrivata anche una mail o un sms con questo codice?
Quindi tu hai un account inps? Ci sei mai entrato? In che modo?
Hai lo spid?

...uhmm... forse non sono stato abbastanza chiaro.

1) La domanda - che ripeto - è: l'indirizzo mail è "reale" (cioè dell'INPS) oppure è un phishing?

2) Mi è arrivata una mail (vedi screenshot del post) e NON un SMS

3) Ovviamente ho un account INPS al quale accedo tramite SPID. In seguito alla vicenda sono entrato e sembra tutto in ordine.

4) Altrettanto ovviamente ho cambiato le PW (anche se forse inutile).

5) La PW e l'indirizzo mail con cui accedo a INPS sono diverse da PW e mail cui accedo allo SPID.

6) La parte conclusiva della mail dice: "La informiamo comunque che l'accesso con SPID Namirial non è andato a buon fine in quanto, chi ha effettuato il tentativo, non ha ottenuto il codice che le è stato inviato per email e/o sms, necessario per accedere ai servizi INPS."

Ripeto quindi la domanda: devo preoccuparmi?

 

[Massimo 2967]

In ogni caso "qualcuno" ha i tuoi dati e ha creato una identità spid con quei dati, quindi qualcosa di strano sta accadendo.
Perché "qualcuno" dovrebbe cercare di accedere ai tuoi dati INPS?

 

[SuperSandro]

In ogni caso "qualcuno" ha i tuoi dati e ha creato una identità spid con quei dati, quindi qualcosa di strano sta accadendo.
Perché "qualcuno" dovrebbe cercare di accedere ai tuoi dati INPS?

Mah... entrando in INPS al massimo può chiedere un prestito(!) che comunque verrebbe accreditato sulla mia banca. Al massimo potrebbe prendere i miei dati, ma se ha creato uno SPID a mio nome vuol dire che i dati già li possiede
Voglio immaginare che sia un neo-utente che ha inserito il proprio indirizzo e-mail relativamente simile al mio e ha tentato inutilmente di accedere sbagliando a digitare l'indirizzo..

 

[Massimo 2967]

Per creare uno spid devi dare dati precisi, qualcuno dovrebbe avere il tuo stesso nome e cognome, essere nato nello stesso giorno e avere il tuo stesso codice fiscale.

 

[Blume.]

Mah... entrando in INPS al massimo può chiedere un prestito(!) che comunque verrebbe accreditato sulla mia banca. Al massimo potrebbe prendere i miei dati, ma se ha creato uno SPID a mio nome vuol dire che i dati già li possiede
Voglio immaginare che sia un neo-utente che ha inserito il proprio indirizzo e-mail relativamente simile al mio e ha tentato inutilmente di accedere sbagliando a digitare l'indirizzo..

protresti essere uno dei 24000 soggetti con casi di omocodia, ma ti è successo altre volte?

Omocodia: persone con lo stesso codice fiscale, cosa fare?

L’omocodia si verifica quando due o più persone hanno lo stesso codice fiscale in quanto hanno il medesimo nome, cognome, città e nascita.

fiscomania.com

...uhmm... forse non sono stato abbastanza chiaro.

1) La domanda - che ripeto - è: l'indirizzo mail è "reale" (cioè dell'INPS) oppure è un phishing?

2) Mi è arrivata una mail (vedi screenshot del post) e NON un SMS

3) Ovviamente ho un account INPS al quale accedo tramite SPID. In seguito alla vicenda sono entrato e sembra tutto in ordine.

4) Altrettanto ovviamente ho cambiato le PW (anche se forse inutile).

5) La PW e l'indirizzo mail con cui accedo a INPS sono diverse da PW e mail cui accedo allo SPID.

6) La parte conclusiva della mail dice: "La informiamo comunque che l'accesso con SPID Namirial non è andato a buon fine in quanto, chi ha effettuato il tentativo, non ha ottenuto il codice che le è stato inviato per email e/o sms, necessario per accedere ai servizi INPS."

Ripeto quindi la domanda: devo preoccuparmi?

bhe! una verifica la farei del codice fiscale, se non è entrato è perchè c'è la verifica a due fattori, lui entra con i tuoi/suoi dati ma evidentemente il codice generato dall'otp non corrisponde e viene negato l'accesso

 

[Kelion]

Mah... entrando in INPS al massimo può chiedere un prestito(!) che comunque verrebbe accreditato sulla mia banca. Al massimo potrebbe prendere i miei dati, ma se ha creato uno SPID a mio nome vuol dire che i dati già li possiede
Voglio immaginare che sia un neo-utente che ha inserito il proprio indirizzo e-mail relativamente simile al mio e ha tentato inutilmente di accedere sbagliando a digitare l'indirizzo..

Tanto per cominciare. Il tuo spid è gestito da Namirial o da qualche altro gestore? Hai settato le notifiche dallo spid che ti segnalano l'utilizzo?
Comunque sia non mi sembra sia un metodo di contatto utilizzato da Inps

Come INPS contatta gli utenti

Sito ufficiale di INPS (Istituto Nazionale Previdenza Sociale)

www.inps.it

Inviato dal mio Redmi Note 8T utilizzando Tapatalk

 

[SuperSandro]

ULTIME NOTIZIE!
Ho telefonato al numero "ufficiale" dell'INPS (06-164-164) e un gentilissimo operatore mi ha rassicurato: aveva sul terminale l'intera mia "pratica" e ha confermato che c'è stato un tentativo di accesso, ma non è andato a buon fine.
Inoltre la riposte che ho ricevuto via mail è effettivamente stata spedita dall'INPS in seguito alla mia segnalazione.

Mi ha detto che la denuncia va fatta NON alla Polizia di Stato (Questura), MA alla polizia postale. Peccato che la sezione per fare la denuncia online sia in ristrutturazione e quindi non funzionante.

Intanto mi sento più tranquillo. La mail è effettivamente dell'INPS e rimane quindi un sospetto di Omocodia, anche se è la prima volta che sarebbe capitato un simile disguido.

Se è così, sono proprio curioso di conoscere il mio... clone!

Tanto per cominciare. Il tuo spid è gestito da Namirial o da qualche altro gestore? Hai settato le notifiche dallo spid che ti segnalano l'utilizzo?

Inviato dal mio Redmi Note 8T utilizzando Tapatalk

Come già detto, Namirial è la prima volta che lo vedo. Inoltre ho fatto un paio di accessi tramite il MIO SPID ed entrambe le volte mi è arrivata la notifica dell'accesso.

 

[sp3ctrum]

ULTIME NOTIZIE!
Ho telefonato al numero "ufficiale" dell'INPS (06-164-164) e un gentilissimo operatore mi ha rassicurato: aveva sul terminale l'intera mia "pratica" e ha confermato che c'è stato un tentativo di accesso, ma non è andato a buon fine.
Inoltre la riposte che ho ricevuto via mail è effettivamente stata spedita dall'INPS in seguito alla mia segnalazione.

Mi ha detto che la denuncia va fatta NON alla Polizia di Stato (Questura), MA alla polizia postale. Peccato che la sezione per fare la denuncia online sia in ristrutturazione e quindi non funzionante.

Intanto mi sento più tranquillo. La mail è effettivamente dell'INPS e rimane quindi un sospetto di Omocodia, anche se è la prima volta che sarebbe capitato un simile disguido.

Se è così, sono proprio curioso di conoscere il mio... clone!
--- i due messaggi sono stati uniti ---

Come già detto, Namirial è la prima volta che lo vedo. Inoltre ho fatto un paio di accessi tramite il MIO SPID ed entrambe le volte mi è arrivata la notifica dell'accesso.

Le mail phishing in genere non hanno il dominio dopo la @ autentico, ma simile.
In ogni caso anche inviando una mail, rischi il phishing solo se inserisci dati sensibili, quindi niente paura.

La regola base è sempre la stessa:

Banche, Poste, INPS e tutti questi enti, non ti chiederanno MAI dati sensibili via mail, quindi sta a te non mettere in pericolo questi dati.

 

[speedyant]

Che io sappia l'omocodia significa che "qualcuno" ha provato con i generatori di codice fiscale, i codici fiscali ufficiali ne tengono conto.

 

[BAT]

Qui i metodi con cui l'INPS può contattare l'utenza: https://www.inps.it/it/it/inps-comu...lle-truffe/come-inps-contatta-gli-utenti.html
tutto il resto è fuffa/truffa/phishing

 

[Mursey]

Per sicurezza ho rimosso l'indirizzo e-mail che era stato segnalato.
Fate tutti affidamento sulla soluzione in evidenza.