Falso modulo dell’Agenzia delle Entrate per non residenti
Nella giornata odierna si è rilevato il tentativo di frode volto a catturare i dati degli utenti attraverso la semplice risposta alla mail fraudolenta.
I messaggi di posta elettronica individuati riportano il medesimo oggetto “Italia non residenti modulo fiscale” ed il medesimo testo
Attenzione: Caro non residente gentilmente di compilare questo modulo in allegato e tornare alla e-mail qui sotto per il nostro aggiornare ufficio. Cordiali saluti Agenzia delle Entrate Agenzia Consulente
il cui italiano assolutamente sgrammaticato si spera non tragga in inganno alcuno.
In allegato è presente un archivio zip denominato Attachments_2013124.zip contenente due file jpg:
Document1.jpg
dovrebbe essere all’apparenza la comunicazione da parte dell’Agenzia delle Entrate al destinatario della mail. Il testo della comunicazione oltre a non rappresentare alcuna richiesta al destinatario, appare non avere coerenza logica, in particolare vi è una totale discrepanza tra i paragrafi con interlinea di 1,5 righe e quello successivo.
Ricercandone il testo in rete si identifica una sola pagina “http://www.fiscooggi.it/analisi-e-commenti/articolo/ritenute-non-residenti-redditi-d-impresa-e-di-lavoro-autonomo-2” da cui i truffatori potrebbero aver tratto i paragrafi con interlinea maggiore
facendo apparentemente un semplice copia/incolla.
L’ultimo paragrafo sembrerebbe invece tratto direttamente dal sito dell’Agenzia delle Entrate
Document2.jpg
la seconda immagine riproduce invece un modulo per il rimborso di cui si individuano versioni similari in rete e potrebbe per tanto essere copia di uno di essi.
In esso oltre ai dati anagrafici, di residenza ed al codice fiscale vengono richieste le coordinate bancarie del ricevente.
I criminali richiedono l’invio del modulo compilato in risposta al messaggio con cui è giunto. Facendo riferimento alle due mail fraudolente rilevate si evidenzia come la prima
Received: from 188.xxx.xxx.250 ([188.xxx.xxx.250]) (SquirrelMail authenticated user [email protected]) by 166.78.57.243 with HTTP; Thu, 31 Jan 2013 19:11:37 -0600 From: [email protected] To: [email protected] Return-Path: <[email protected]>
possa rappresentare un errore di composizione ed invio (da indirizzo ip britannico) in quanto pur presentando l’indirizzo ingannevole [email protected] lo trova inserito nel campo “To:” presentando invece quale indirizzo per il percorso di risposta quello dell’utente usato per accreditarsi presso il server di posta, come evidenziato dagli headers.
Sembrerebbe che dopo circa una mezz’ora i criminali, accortisi del disguido abbiano provveduto ad un secondo invio, da indirizzo ip nigeriano, questa volta inserendo l’indirizzo destinato a raccogliere le risposte nel modo corretto
Received: from [197.yyy.yyy.2] (port=60034 helo=User) by linuxpro with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.80) (envelope-from <[email protected]>) id 1U15gp-0005OU-Tv; Thu, 31 Jan 2013 19:46:38 -0600 Reply-To: <[email protected]>
Ad un primo superficiale esame i dettagli linguistici lascerebbero ipotizzare che il tentativo di frode possa essere opera di stranieri.
L’utilizzo di immagini, presumibilmente risultati di scansione digitale, è giustificabile con il tentativo da parte dei truffatori di non diffondere indizi nelle proprietà di documenti editati con suite d’ufficio?
