Attacco informatico

Occhio all'sms-truffa su Spid PosteID se tentate il bonus bici

Avevano "costruito" un sito identico in tutto e per tutto all'originale. Ma serviva solo per ottenere informazioni.

Occhio all'sms-truffa su Spid PosteID se tentate il bonus bici
Pubblicato:
Aggiornato:

L'attacco informatico che si sta registrando proprio in questi giorni colpisce la pagina di accesso dello Spid di PosteId.

In era Covid gli hacker sono più attivi

Proprio in un momento storico in cui la "connessione" permette di aumentare le interazioni (altrimenti negate dalle regole di distanziamento sociale) ecco che spuntano nuove truffe informatiche che mettono a rischio i propri dati personali. In era Covid, insomma, gli attacchi informatici sono, se possibile, pure aumentati rispetto al solito. Non sono cambiate le modalità più diffuse, ma gli hacker hanno trovato nuove formule per minare la sicurezza informatica. Phishing e randomware restano sempre tra gli strumenti preferiti. Ma ora le truffe viaggiano anche su "canali" usati indistintamente da tutti, come i portali delle Poste italiane.

"Volendo sfruttare l’ondata del click day per il bonus mobilità che prevedeva l’uso di un account SPID e delle conseguenti problematiche riscontrate nel corso del click day con alcuni provider SPID, dei malfattori hanno ben pensato di mettere in uso un dominio malevolo appositamente registrato in data 06/10/2020 e denominato aggiornamento-spid[.]com".

In pratica ecco cosa succede: gli hacker hanno creato un dominio fasullo. Un link, in altre parole, che arriva alla persona tramite un sms. Aprendo il messaggio e cliccando sul link fasullo si viene indirizzati su una pagina di accesso allo Spid di PosteId. Ma occhio, perché quella che si apre non è la pagina reale dello Spid di PosteId. E' un fake. L'idea degli hacker, quindi, era quella di sfruttare il portale falso Spid per far inserire i dati al malcapitato. Dati che sarebbero irrimediabilmente rubati dai criminali digitali.

La truffa dello Spid PosteId

Lo Spid è un sistema di identità digitale che si ottiene da alcuni provider, in questo caso l’attenzione è rivolta verso Poste Italiane. Sfruttando il recente bonus bici in vigore dal 6 novembre, i cybercriminali hanno attuato una nuova frode incentrata proprio sullo Spid, dato che questo è necessario affinché il governo attui il bonus. I truffatori, in altre parole, hanno creato un dominio “aggiornamento-spid.com”, raggiungibile solo da navigazione tramite smatphone o tablet. La truffa sarebbe dovuta consistere in una campagna di malware via SMS volta ad ingannare i cittadini che hanno attiva un’identità digitale con Poste Italiane, spingendoli a entrare all’interno del sito fraudolento. Sito, all’apparenza, identico alla pagina di login di Poste italiane.

"Grazie alla collaborazione con D3Lab che ha subito segnalato il nome del dominio sospetto quando ancora non presentava contenuti, il CERT- AgID ha attivato preventivamente il monitoraggio per rilevare gli eventuali cambiamenti e provveduto a segnalare il dominio malevolo tra gli IoC a tutela delle sue strutture accreditate e ad allertare tutti i comparti di interesse", ha scritto Agenzia per l'Italia digitale in una nota.

Questa settimana il CERT-AGID ha riscontrato ed analizzato complessivamente 25 campagne malevole attive nello scenario italiano, mettendo a disposizione dei suoi enti accreditati un totale di 223 indicatori di compromissione (IOC). Sono state osservate nel panorama italiano 6 famiglie di malware.

  • Dridex, due campagne a tema “Pagamenti” scritte in lingua inglese ma veicolate anche verso destinatari italiani. Le email allegano il classico file xlsm.
  • AgentTesla, sempre restando sul tema “Pagamenti” sono state osservate due campagne AgentTesla di cui una scritta in lingua italiana che riporta in allegato due file .exe ed una in inglese che allega un file compresso .lha con dentro un eseguibile .exe.
  • Lokibot, Qrat e Remcos, sono stati attivi con campagne sporadiche a temi “Pagamenti” e “Informazioni” riportando in allegato rispettivamente file .ace, .zip e .ico.

Una settimana di phishing

Settimana particolarmente ricca di campagne di phishing che hanno preso di mira il settore bancario. Oltre al classico phishing si è avuta evidenza di diversi tentativi di phishing via SMS (smishing).

  • IntesaSanpaolo, anche per questa settimana è stato il brand a tema “Banking” più sfruttato dai criminali.
  • Poste, è stata oggetto di diverse campagne mirate, per una delle quali il CERT-AGID ha provveduto ad emettere un avviso, sfruttando temi differenti di cui due “Spid”, successive all’evento click day, e altre due rispettivamente “Delivery” e “Informazioni”.
  • BNL, Unicredit, MPS e BCC, completano il panorama delle campagne italiane a tema “Banking”.
  • Zimbra, campagna di phishing in lingua italiana il cui scopo è quello di sottrarre le credenziali email di utenti che usano (principalmente) la soluzione Zimbra facendo leva su un falso aggiornamento.
  • Aruba, come ogni settimana l’immancabile appuntamento con le campagne di phishing con i loghi di Aruba che richiede “Pagamenti” per dominio scaduto.

Phishing, di cosa si tratta?

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. Si tratta di un'attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Seguici sui nostri canali