CheckBlackList

SMS PayPal “Pagamento Effettuato”? NON CLICCARE! È una truffa smishing

SMS PayPal “Pagamento Effettuato”? NON CLICCARE! È una truffa smishing

Allarme Smishing: Falso SMS PayPal “Pagamento Effettuato” Punta ai Tuoi Soldi

Per chi ha fretta

Attenzione a SMS che sembrano inviati da PayPal e segnalano un “pagamento effettuato” (es. di 256,31€) con la tua carta, invitandoti a cliccare un link per “bloccarlo” se non lo riconosci. Si tratta di una truffa smishing (phishing via SMS) molto diffusa. Il link porta a un sito falso creato per rubare le tue credenziali di accesso PayPal e, potenzialmente, i dati della carta o bancari collegati. PayPal NON invia MAI SMS con link per bloccare pagamenti o chiedere dati sensibili. Per verificare transazioni sospette, accedi SEMPRE e SOLO tramite l’app ufficiale PayPal o digitando www.paypal.com nel browser. Non cliccare sui link negli SMS. Se sei stato truffato, cambia subito la password PayPal, avvisa la banca e denuncia alla Polizia Postale.

Introduzione: L’SMS da PayPal che Svuota il Conto (o Tenta di Farlo)

Un messaggio SMS arriva sul tuo smartphone. Il mittente sembra essere “PayPal” e il testo ti gela il sangue: “È stato effettuato un pagamento di [importo variabile, es. 256,31 EUR] con la carta ****. Se non riconosci questo pagamento bloccalo [link sospetto]”. L’istinto è quello di cliccare immediatamente per fermare un addebito non autorizzato. Ma è proprio questa reazione, basata sulla paura e sull’urgenza, l’obiettivo dei cybercriminali dietro a questa pericolosa e diffusissima campagna di smishing che sfrutta il nome affidabile di PayPal per ingannare gli utenti.

Come Funziona la Truffa “Pagamento Effettuato”

Lo schema è semplice ma psicologicamente efficace:

  1. Invio dell’SMS Esca: Ricevi un SMS che simula un avviso di transazione PayPal. Il testo è solitamente breve e diretto, menzionando un importo specifico (spesso qualche centinaio di euro per essere allarmante ma non implausibile) e le ultime cifre oscurate di una carta (generiche, come ****, per sembrare autentico).
  2. Creazione di Panico e Urgenza: L’idea di un pagamento non autorizzato genera ansia immediata. La frase “Se non riconosci questo pagamento bloccalo” spinge ad agire d’impulso.
  3. Il Link Malevolo: È il cuore della truffa. Non porta al sito ufficiale di PayPal.
  4. Il Sito Phishing: Cliccando, si atterra su una pagina web identica o molto simile alla pagina di login ufficiale di PayPal. Potrebbe anche presentare loghi e colori corretti.
  5. Il Furto delle Credenziali (e non solo): Qui ti viene chiesto di inserire il tuo indirizzo email e la password di PayPal per “accedere” e “bloccare la transazione”. Inserendo questi dati, li stai consegnando direttamente ai truffatori. A volte, dopo il finto login, potrebbero chiederti ulteriori dati “per verifica”: numero di carta completo, CVV, domande di sicurezza, dati personali.
  6. L’Uso dei Dati Rubati: Con le tue credenziali, i criminali possono accedere al tuo account PayPal, effettuare pagamenti non autorizzati, cambiare le impostazioni, rubare i dati delle carte/conti collegati o usare le tue informazioni per altre frodi.

Perché Sembra Vera (e Perché NON lo È)

Elementi che la rendono credibile:

  • Nome Mittente (Spoofing): Spesso i truffatori riescono a far apparire “PayPal” come nome del mittente dell’SMS, invece di un numero di telefono.
  • Testo Simile agli Avvisi Reali: Il formato del messaggio può ricordare le notifiche legittime.
  • Importi Specifici: L’uso di un importo preciso (es. 256,31€) la rende più concreta di un avviso generico.
  • Urgenza: La paura di perdere soldi spinge ad agire in fretta.

Elementi che SVELANO la truffa (se si presta attenzione):

  • Il Canale (SMS con Link Attivo): PayPal NON ti chiederà MAI di cliccare un link in un SMS per bloccare una transazione o per inserire le tue credenziali. Le azioni critiche sull’account si fanno solo dopo aver effettuato l’accesso sicuro tramite app o sito ufficiale.
  • Richiesta di Credenziali Tramite Link: Nessuna azienda seria ti chiederà di inserire la tua password cliccando su un link ricevuto via SMS.
  • L’URL del Link: Anche senza cliccare, spesso una pressione lunga sul link (su smartphone) o il passaggio del mouse (su computer, se l’SMS è inoltrato) rivela un indirizzo web che NON è paypal.com o paypal.it, ma qualcosa di strano, magari con errori di battitura o domini insoliti.

La Posizione Ufficiale di PayPal: Come Riconoscere e Segnalare

PayPal è ben consapevole di queste truffe e fornisce indicazioni chiare ai propri utenti:

  • Canali Ufficiali: Le comunicazioni importanti sulla sicurezza dell’account o sulle transazioni avvengono tramite notifiche nell’app PayPal ufficiale e/o email inviate da indirizzi che terminano SEMPRE con @paypal.com o domini ufficiali locali (es. @paypal.it).
  • Verifica Diretta: In caso di dubbi su una transazione, accedi SEMPRE al tuo conto PayPal digitando www.paypal.com nel browser o tramite l’app ufficiale. Non usare mai link ricevuti via SMS o email.
  • Segnalazione Phishing: PayPal invita a inoltrare SMS ed email sospetti (senza cliccare link o scaricare allegati) all’indirizzo phishing@paypal.com. Dopo l’inoltro, consiglia di cancellare il messaggio sospetto.
  • Cosa NON Fare: Non rispondere a messaggi sospetti, non cliccare sui link, non scaricare allegati, non chiamare numeri di telefono indicati nel messaggio.

Non Farti Ingannare: I Consigli Anti-Smishing (PayPal e non solo)

  1. IGNORA GLI SMS DI ALLARME CON LINK: Sii estremamente scettico verso qualsiasi SMS (da PayPal, banche, Poste, corrieri, INPS, etc.) che ti segnala un problema urgente (pagamento, pacco bloccato, account sospeso) e ti chiede di cliccare un link per risolverlo.
  2. VERIFICA SEMPRE DALLA FONTE UFFICIALE: Hai ricevuto un SMS sospetto da PayPal? Chiudi l’SMS. Apri l’app ufficiale di PayPal o vai sul sito www.paypal.com digitandolo tu stesso nel browser. Accedi e controlla lì le tue transazioni recenti e le notifiche. Se non c’è nulla di anomalo, l’SMS era una truffa.
  3. NON CLICCARE MAI LINK IN SMS SOSPETTI: Anche se la curiosità è forte, evita di cliccare.
  4. ATTIVA L’AUTENTICAZIONE A DUE FATTORI (2FA) SU PAYPAL: È fondamentale. Usa preferibilmente un’app di autenticazione (come Google Authenticator, Authy) invece dell’SMS, se possibile, perché è più sicura contro altri tipi di truffe (SIM swap).
  5. USA UNA PASSWORD FORTE E UNICA PER PAYPAL: Non riutilizzare la password di PayPal su altri siti.
  6. CONTROLLA IL MITTENTE (CON CAUTELA): Anche se il nome “PayPal” può essere falsificato (spoofing), a volte questi SMS arrivano da numeri di cellulare normali o stranieri, il che è un chiaro segnale di allarme.
  7. DIFFIDA DEI MESSAGGI GENERICI: Spesso i messaggi di smishing non ti chiamano per nome. Tuttavia, i truffatori più abili potrebbero riuscire a personalizzarli.

Sei Caduto nella Trappola? Cosa Fare Immediatamente

Se hai cliccato sul link e, peggio ancora, hai inserito le tue credenziali PayPal o i dati della carta sul sito falso:

  1. ACCEDI SUBITO AL TUO ACCOUNT PAYPAL (DAL SITO/APP UFFICIALE!):
    • Cambia immediatamente la password. Scegline una nuova, forte e unica.
    • Attiva/Verifica l’Autenticazione a Due Fattori (2FA).
    • Controlla le fonti di finanziamento collegate (carte, conti): Verifica che non ne siano state aggiunte di nuove non autorizzate.
    • Controlla l’attività recente: Cerca accessi, pagamenti o modifiche alle impostazioni che non riconosci.
    • Verifica i dispositivi collegati/sessioni attive: Nelle impostazioni di sicurezza, disconnetti eventuali dispositivi o sessioni che non riconosci.
  2. CONTATTA LA TUA BANCA/EMITTENTE DELLA CARTA: Se hai inserito anche i dati della carta di credito/debito, contatta immediatamente la banca per bloccare la carta e monitorare eventuali addebiti fraudolenti.
  3. CAMBIA LA PASSWORD DELL’EMAIL: Se la password che usi per PayPal è la stessa (o simile) a quella della tua email associata, cambia anche la password dell’email immediatamente (sempre dal sito ufficiale del provider email).
  4. SEGNALA A PAYPAL: Oltre a inoltrare il messaggio a phishing@paypal.com, contatta l’assistenza clienti di PayPal tramite il Centro Risoluzioni sul loro sito ufficiale per segnalare la compromissione dell’account.
  5. DENUNCIA ALLA POLIZIA POSTALE: Presenta una denuncia formale alla Polizia Postale e delle Comunicazioni (www.commissariatodips.it), fornendo tutte le prove (screenshot dell’SMS, URL del sito falso se lo ricordi, dettagli delle credenziali/dati forniti, eventuali addebiti).

Oltre PayPal: La Piaga dello Smishing

Ricorda che questa tecnica (smishing) è usata per impersonare moltissimi servizi: banche (con finti blocchi conto), Poste Italiane/PostePay (pacchi bloccati, ricariche sospette), corrieri espressi (spese doganali o indirizzi errati per pacchi), Agenzia delle Entrate (false multe o rimborsi), INPS (aggiornamenti SPID o bonus fasulli). La regola è sempre la stessa: diffidare dei link via SMS e verificare sempre tramite i canali ufficiali.

Conclusioni: Diffida del Tuo Telefono, Fidati del Sito Ufficiale

L’SMS che sembra arrivare da PayPal con un allarme su un pagamento è un’esca quasi perfetta perché gioca sulla nostra paura e sul nostro istinto di proteggere i nostri soldi. Ma proprio per questo dobbiamo fermarci un attimo e ragionare: le aziende serie come PayPal hanno canali sicuri e procedure specifiche per gestire queste situazioni, e non includono mai link attivi via SMS per azioni critiche. La nostra migliore difesa è trattare ogni SMS contenente link con estrema diffidenza e verificare sempre qualsiasi presunto problema accedendo direttamente all’app o al sito ufficiale del servizio in questione.

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *