Non sono passate molte settimane da quando abbiamo parlato dell’ultimo attacco che mira agli utenti dell’ente previdenziale italiano INPS, ma il CERT-AGID ha segnalato nuovamente una truffa in atto che punta al furto di diversi dati personali importanti. Negli ultimi giorni di febbraio è stata infatti notificata la diffusione di una campagna di smishing, ovvero il phishing via SMS, ai danni di utenti INPS, che oltretutto si fa notare per un tipo di atteggiamento molto intimidatorio anziché, come fatto in passato, promettendo bonus o altri emolumenti. In questo caso invece vengono addirittura minacciate azioni penali se non si procede all’inserimento di determinate informazioni sul (finto) portale INPS.
Andando per ordine, la potenziale vittima di questa campagna riceve un messaggio SMS, che sembra avere come mittente l’Ente di previdenza sociale, nel quale si richiede di cliccare su un URL presente nel testo per informazioni. Facendo tap si apre quindi un portale fasullo e malevolo, che presenta anche una finestra popup nel quale si spiega al malcapitato che non ha inserito la dichiarazione dei redditi, minacciando azioni penali se questa attività non viene svolta immediatamente. CERT-AGID ha inserito nel suo focus anche l’intero testo del popup, che recita: “la sua dichiarazione dei redditi risulta mancante. È necessario verificare con urgenza i documenti. Si ricorda che l’omessa dichiarazione dei documenti richiesti può comportare conseguenze di natura penale, ai sensi della normativa vigente”.
È importante segnalare la grande somiglianza del portale degli hacker con quello originale INPS, cosa che può veramente indurre grossa confusione anche in coloro che navigano un po’ in rete e conoscono i siti web istituzionali. Anche i loghi sono esattamente gli stessi, così come la costruzione delle pagine, nelle quali si richiede di dare i propri dati anagrafici, l‘IBAN ma anche altri dati molto importanti come i propri documenti d’identità, la tessera sanitaria, la patente e le copie delle buste paga. È prevista, inoltre, anche una sorta di video-riconoscimento dell’utente, per il quale si richiede l’upload di un video corto nel quale si effettuano determinati movimenti, seguendo le istruzioni.
Ma cosa se ne fanno gli hacker dei dati che vengono sottratti in questa truffa? Come spesso accade quando si chiedono numeri di documento e affini, lo scopo è quello di creare degli SPID e quindi false identità digitali, con le quali si può accedere ai servizi della vittima modificando ad esempio i codici IBAN e portando quindi gli emolumenti, come ad esempio quello della pensione, su altri conti. È giusto però specificare che queste azioni sono sicuramente pericolose ma, per andare a buon fine, dipendono da eventuali controlli effettuati in malo modo da parte degli enti preposti al controllo. Il CERT-AGID s’è messo in moto per arginare questa campagna di smishing dando al registrar la notifica riguardante l’abuso del dominio su cui si atterra collegandosi al finto portale ed avvisando ovviamente anche INPS dell’offensiva in corso.
Per evitare problemi con questa e con tutte le altre campagna smishing il consiglio è sempre quello di guardare bene il mittente dei messaggi o delle mail (quando si parla di phishing). Oltretutto, come norma generale, è sempre bene non fidarsi di coloro che via SMS ci chiedono dati personali o ci vogliono portare su siti esterni, dei quali possiamo e dobbiamo controllare bene l’URL, che nei casi di smishing e phishing differisce sempre da quello dell’organizzazione che ci contatta.
Fonte: 1
