Un SMS, pochi secondi di lettura e la promessa di un premio allettante: “21.980 punti accumulati” sulla Carta Fidaty Esselunga pronti per essere riscattati. È così che molti utenti stanno cadendo nella nuova truffa online che sfrutta il nome della catena di supermercati per sottrarre dati personali e denaro. Un meccanismo come sempre costruito su urgenza e credibilità, che sta circolando rapidamente in tutta Italia.
La truffa dei punti Esselunga: l’inganno dei “21.980 punti”
Tutto parte da un SMS (in alcuni casi un’e-mail) che si presenta in tutto e per tutto come una comunicazione ufficiale di Esselunga. Tono formale, grafica plausibile e una cifra di punti che appare realistica, ma allo stesso tempo molto allettante. “Gentile Cliente, i 21.980 punti accumulati sulla sua Carta Fidaty stanno per scadere”. Qui sta la truffa. Sono quasi 22mila punti Fidaty che possono equivalere anche a 200-300 euro in premi, tra elettrodomestici, ingressi a parchi divertimento, esperienze benessere o prodotti. Un bottino che invoglia a non “perdere l’occasione”. Qui scatta l’urgenza. Il messaggio invita a riscattare subito i punti tramite un link, lasciando intendere che il tempo sia limitato. Cliccando su quel link, però, non si accede al sito ufficiale Esselunga, ma a una copia contraffatta costruita per ingannare anche gli utenti più attenti.
Phishing e spoofing: la truffa dei punti Esselunga che svuota il conto
È un classico caso di phishing, reso più sofisticato dall’uso dello spoofing. Il mittente del messaggio può infatti apparire come “Esselunga”, rendendo la comunicazione ancora più credibile. Una volta aperto il link, l’utente si trova davanti a una pagina che replica loghi, colori e struttura del sito originale. Qui viene richiesto di inserire dati personali: nome, cognome, e-mail, numero di telefono e, soprattutto, informazioni bancarie. Come viene giustificata la richiesta? Per “spese di spedizione” per ricevere il premio. In altri casi, viene chiesto anche di inserire codici di sicurezza ricevuti via SMS o credenziali di accesso, permettendo ai criminali di completare operazioni fraudolente in tempo reale. Risultato? Addebiti non autorizzati, acquisti online e, nei casi peggiori, accesso diretto ai conti correnti.
Truffa dei punti Esselunga: i segnali per riconoscere e cosa fare se si è cliccato sul link
Come difendersi e non cadere nella trappola? Il primo elemento da controllare è sempre il link. Il sito ufficiale utilizza esclusivamente il dominio “esselunga.it”: qualsiasi variazione, anche minima, è un campanello d’allarme. Spesso i domini falsi presentano piccole modifiche difficili da notare a colpo d’occhio, oppure estensioni insolite. In alcuni casi, i browser stessi segnalano il rischio, avvisando che il sito potrebbe essere pericoloso.
Il secondo indizio riguarda il testo del messaggio. Seppure quasi sempre ben scritto, possono comparire errori o refusi. Un esempio? Puoi leggere “vantaagi” invece di “vantaggi”. E poi attenzione al tono: l’insistenza sull’urgenza e sulla necessità di agire subito è una tecnica tipica del phishing. Se si riceve il messaggio, oltre alla prevenzione, è bene verificare subito il saldo punti o eventuali premi, accedendo direttamente al sito ufficiale, digitando l’indirizzo nel browser o utilizzare l’app ufficiale. E in caso di dubbi contattare direttamente il servizio clienti. E bisogna sempre ricordarsi che nessuna azienda affidabile chiede dati bancari tramite link inviati via SMS per riscattare premi.
Se si cade in trappola e si clicca sul link? Se non si sono inseriti dati, è sufficiente chiudere la pagina. Se invece si sono digitati dati sensibili è necessario agire immediatamente: contattare la banca, bloccare la carta, cambiare le password e attivare l’autenticazione a due fattori. Ed è sempre opportuno segnalare l’accaduto alle autorità, per contribuire a limitare la diffusione della truffa.