L'immagine mostra il logo di unipolsai assicurazione che dimostra dei tentativi di truffa via e-mail.

TRUFFA Unipol Sai: Hai vinto un kit di sicurezza

di Cristian Galloin Truffeon Pubblicato il

Questa truffa gira da anni con mille varianti, ma il copione è sempre lo stesso: sfruttare il nome di un brand noto (in questo caso UnipolSai) per farti abbassare le difese e spingerti a cliccare dove non dovresti. Vediamola con l’occhio di un blogger informatico e di un ethical hacker: come funziona, cosa succede “dietro le quinte” e come difendersi in modo concreto.

Come si presenta la truffa

Di solito arriva sotto forma di:

  • Email: oggetto tipo “Congratulazioni! Hai vinto un kit di sicurezza UnipolSai”
  • SMS: con link corto o sospetto che rimanda a una pagina “promo”
  • Messaggi su WhatsApp/Telegram: inoltrati da contatti che ci sono cascati

Il messaggio contiene quasi sempre:

  • Finta comunicazione ufficiale: logo UnipolSai copiato, colori simili, tono “istituzionale”
  • Premio: “kit di sicurezza”, “pacchetto protezione”, “dispositivo antifurto” o simili
  • Urgenza: “Hai X ore per confermare il premio”, “Ultima possibilità”
  • Link: che porta a un sito che imita quello di UnipolSai o di un partner “ufficiale”

Cosa succede quando clicchi sul link?

Da qui in poi entriamo nella parte interessante, quella “da laboratorio”.

Landing page fasulla

  • Grafica: logo UnipolSai, magari qualche immagine stock di antifurti, serrature, telecamere
  • Dominio: non è quello ufficiale (es. unipolsai.it), ma qualcosa di simile o totalmente diverso
  • Contenuto: ti conferma la “vincita” e ti chiede di “confermare i dati”

Raccolta dati personali

Qui iniziano a spremerti:

  • Dati richiesti: nome, cognome, indirizzo, telefono, email
  • Scopo reale: profilarti per future truffe, rivendere i dati, preparare attacchi mirati (spear phishing)

Raccolta dati di pagamento

Il passaggio chiave:

  • Scusa tipica: “Paga solo le spese di spedizione”, “Contributo simbolico di attivazione”
  • Dati richiesti: numero carta, scadenza, CVV, talvolta anche OTP via SMS
  • Risultato: clonazione carta, addebiti non autorizzati, possibile furto completo del conto se combinato con altre info

Possibile installazione malware

In alcune varianti:

  • Download di app o file: “App per tracciare la spedizione”, “Manuale del kit di sicurezza”
  • Rischio: trojan, spyware, keylogger, app malevole che intercettano SMS (inclusi codici OTP)

Indicatori tecnici che smascherano la truffa

Qui entriamo nel dettaglio “da analisi”.

Dominio e URL

  • Dominio sospetto:
    • Non è il dominio ufficiale di UnipolSai
    • Spesso contiene parole tipo promo, gift, secure-kit, safety-prize
  • URL lunghi o offuscati: con parametri strani, tracking aggressivo, redirect multipli

Certificato HTTPS

  • HTTPS non basta: avere il lucchetto non significa essere legittimi
  • Certificato base: spesso è un semplice certificato DV (Domain Validation), ottenibile da chiunque

Codice sorgente e script

Un occhio tecnico può notare:

  • Script di tracciamento aggressivi: raccolta massiva di dati, fingerprinting del browser
  • Form che inviano dati a server esterni: endpoint su domini sconosciuti o server in paesi “comodi” per i criminali
  • Assenza di elementi tipici di un sito serio: niente privacy policy reale, niente termini d’uso credibili

Perché usano proprio un “kit di sicurezza”?

Non è casuale, è psicologia applicata:

  • Paradosso della sicurezza: ti truffano usando come esca qualcosa che “aumenta la sicurezza”
  • Brand trust: UnipolSai è associata ad assicurazioni, protezione, sicurezza abbassi la guardia
  • Narrativa rassicurante: “Ti premiamo perché sei attento alla sicurezza” ti senti “virtuoso”, non sospettoso

Cosa fare se hai ricevuto il messaggio?

Se non hai cliccato

  • Ignora e cancella: non rispondere, non inoltrare
  • Segnala come spam/phishing: nel client email o nell’app SMS
  • Avvisa chi non è molto esperto: genitori, nonni, amici meno digitali

Se hai cliccato ma non hai inserito dati

  • Chiudi la pagina: subito
  • Pulisci il browser:
    • Cancella cache e cookie
    • Controlla estensioni sospette
  • Monitora eventuali email strane: potrebbero averti tracciato per future campagne

Se hai inserito dati personali

  • Email e telefono:
    • Aspettati spam e phishing mirato
    • Non fidarti di future comunicazioni “credibili” che usano i tuoi dati reali
  • Valuta di cambiare email: se è molto esposta e ricevi ondate di spam

Se hai inserito dati della carta

Qui non si scherza:

  • Blocca/subito la carta: contatta la banca o l’emittente
  • Controlla movimenti: segnala immediatamente transazioni sospette
  • Richiedi nuova carta: con nuovo numero e nuovo CVV

Come evitare queste truffe in futuro?

Regola d’oro: nessuno ti regala niente

  • Premi casuali: se non hai partecipato a un concorso, non hai vinto nulla
  • Brand seri: non comunicano vincite “a pioggia” via SMS o email generiche

Verifica sempre dal sito ufficiale

  • Non usare il link nel messaggio:
    • Apri il browser
    • Digita manualmente il sito ufficiale di UnipolSai
    • Cerca eventuali comunicazioni o promozioni nella tua area riservata

Diffida delle “spese di spedizione simboliche”

  • Pattern classico: premio gratis + piccola spesa → grande furto
  • Se serve la carta per un premio “gratuito”, non è gratuito

Abilita notifiche e limiti sulla carta

  • Notifiche in tempo reale: per ogni transazione
  • Limiti di spesa online: importi bassi, carte virtuali, prepagate dedicate agli acquisti online

Educa chi ti sta intorno

La sicurezza non è solo tecnica, è sociale:

  • Parlane in famiglia: spiega esempi concreti, fai vedere messaggi reali
  • Mostra differenze tra sito vero e sito falso: dominio, grafica, contenuti, privacy policy

Cosa dovrebbe fare un’azienda seria come UnipolSai?

Da ethical hacker, non guardo solo l’utente, ma anche il ruolo del brand:

  • Comunicazioni chiare sul sito ufficiale: se c’è una truffa in corso, deve essere ben visibile
  • Canali dedicati alla segnalazione phishing: email o form per inviare esempi di messaggi sospetti
  • Campagne di educazione digitale: spiegare ai clienti come riconoscere truffe che usano il loro nome
  • Collaborazione con provider e autorità: per far chiudere rapidamente domini e pagine fraudolente

Ulteriori dettagli:

Questa truffa del “kit di sicurezza UnipolSai” è solo una delle tante varianti di phishing basato su:

  • Brand noto + premio gratuito + urgenza + piccolo pagamento

La vera difesa non è un antivirus miracoloso, ma un mix di:

  • Consapevolezza tecnica: riconoscere domini, pattern, richieste sospette
  • Igiene digitale: non cliccare alla leggera, non inserire dati “tanto per provare”
  • Abitudine al dubbio: se qualcosa sembra troppo bello per essere vero, di solito è una truffa

Lascia un commento