Falso modulo dell’Agenzia delle Entrate per non residenti

falso documento agenzia entrate

Nella giornata odierna si è rilevato il tentativo di frode volto a catturare i dati degli utenti attraverso la semplice risposta alla mail fraudolenta.

I messaggi di posta elettronica individuati riportano il medesimo oggetto “Italia non residenti modulo fiscale”  ed il medesimo testo

Attenzione: Caro non residente gentilmente di compilare questo modulo in allegato e tornare alla e-mail qui sotto per il nostro aggiornare ufficio. Cordiali saluti Agenzia delle Entrate Agenzia Consulente

il cui italiano assolutamente sgrammaticato si spera non tragga in inganno alcuno.

In allegato è presente un archivio zip denominato Attachments_2013124.zip contenente due file jpg:

 

Document1.jpg

falso documento agenzia entrate

dovrebbe essere all’apparenza la comunicazione da parte dell’Agenzia delle Entrate al destinatario della mail. Il testo della comunicazione oltre a non rappresentare alcuna richiesta al destinatario, appare non avere coerenza logica, in particolare vi è una totale discrepanza tra i paragrafi con interlinea di 1,5 righe e quello successivo.
Ricercandone il testo in rete si identifica una sola pagina “http://www.fiscooggi.it/analisi-e-commenti/articolo/ritenute-non-residenti-redditi-d-impresa-e-di-lavoro-autonomo-2” da cui i truffatori potrebbero aver tratto i paragrafi con interlinea maggiore

testo copiato dai truffatori

facendo apparentemente un semplice copia/incolla.

L’ultimo paragrafo sembrerebbe invece tratto direttamente dal sito dell’Agenzia delle Entrate

testo ripreso dai criminali

 

Document2.jpg

falso modulo

la seconda immagine riproduce invece un modulo per il rimborso di cui si individuano versioni similari in rete e potrebbe per tanto essere copia di uno di essi.
In esso oltre ai dati anagrafici, di residenza ed al codice fiscale vengono richieste le coordinate bancarie del ricevente.

I criminali richiedono l’invio del modulo compilato in risposta al messaggio con cui è giunto. Facendo riferimento alle due mail fraudolente rilevate si evidenzia come la prima 

Received: from 188.xxx.xxx.250 ([188.xxx.xxx.250])         (SquirrelMail authenticated user [email protected])         by 166.78.57.243 with HTTP;         Thu, 31 Jan 2013 19:11:37 -0600 From: [email protected] To: [email protected] Return-Path: <[email protected]>

possa rappresentare un errore di composizione ed invio (da indirizzo ip britannico) in quanto pur presentando l’indirizzo ingannevole [email protected] lo trova inserito nel campo “To:” presentando invece quale indirizzo per il percorso di risposta quello dell’utente usato per accreditarsi presso il server di posta, come evidenziato dagli headers.

Sembrerebbe che dopo circa una mezz’ora i criminali, accortisi del disguido abbiano provveduto ad un secondo invio, da indirizzo ip nigeriano, questa volta inserendo l’indirizzo destinato a raccogliere le risposte nel modo corretto

Received: from [197.yyy.yyy.2] (port=60034 helo=User) by linuxpro with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.80) (envelope-from <[email protected]>) id 1U15gp-0005OU-Tv; Thu, 31 Jan 2013 19:46:38 -0600 Reply-To: <[email protected]>

Ad un primo superficiale esame i dettagli linguistici lascerebbero ipotizzare che il tentativo di frode possa essere opera di stranieri.
L’utilizzo di immagini, presumibilmente risultati di scansione digitale, è giustificabile con il tentativo da parte dei truffatori di non diffondere indizi nelle proprietà di documenti editati con suite d’ufficio?