Le campagne di phishing continuano a costituire una minaccia seria per gli utenti italiani, sempre intenti a schivare le offensive degli hacker che mirano ad avere accesso ai servizi delle vittime ed al furto di informazioni e identità. Solo in data 19 febbraio sono state segnalate due importanti campagne che hanno preso di mira i cittadini e non le aziende. Vediamole entrambe e scopriamo a cosa fare attenzione.
La prima delle due truffe è stata quella indirizzata verso gli utenti INPS e veicolata mediante l’invio di SMS, pertanto sarebbe più corretto parlare di smishing, nei quali si scriveva che il destinatario era sul punto di perdere i propri privilegi. Nel messaggio era presente un link che riportava ad un finto portale INPS basato su un dominio simile e con certificato SSL. Nonostante queste accortezze, basta una semplice ricerca per scoprire che questo dominio certificato è basato su server siti in Portogallo e che ovviamente il dominio stesso non corrisponde esattamente con quello di INPS. Ai visitatori veniva richiesto l’upload di una lunga serie di dati e documenti personali, tra i quali figurano i propri dati anagrafici, la copia dei documenti d’identità, la patente, un selfie con i documenti in mano, la tessera sanitaria ed infine le copie delle ultime tre buste paga. Al termine di questi upload viene chiesto all’utente di inserire il proprio codice IBAN.
La gravità di questa campagna risiede nella enorme quantità di dati e documenti che la vittima potrebbe potenzialmente fornire all’hacker, che consentirebbe a quest’ultimo di effettuare operazioni finanziarie quali l’apertura di mutui o finanziamenti. Gli analisti hanno scoperto che tramite questa truffa sono stati raccolti circa settemila documenti e, considerando la quantità di dati da caricare, si tratterebbe di circa 700 vittime ignare, cosa che ha fatto scattare subito la segnalazione al CERT-AgID.
La seconda truffa riguarda invece gli istituti bancari ed è stata veicolata sfruttando il tema SPID ed è stata individuata dopo la segnalazione di varie campagne SMS ed Email che contenevano un alert sulla scadenza della propria identità digitale. Analizzando bene il portale di atterraggio, però, si nota che il dominio è simile ma non è assolutamente quello ufficiale di SPID (che ricordiamo essere spid.gov.it). Per rimediare alla scadenza, gli hacker chiedevano sul portale fraudolento di accedere al proprio home banking mettendo a disposizione false maschere di login di una lunga serie di istituti di credito. Dalle immagini messe a disposizione dal CERT-AgID possiamo notare la presenza di Unicredit, Poste Italiane, Inbank e Banca Sella oltre a moltissime altre.
A questo punto l’utente che cade nel tranello finisce per utilizzare le sue credenziali d’accesso ai sistemi bancari, ma considerando che attualmente per terminare l’accesso alle banche online viene utilizzata l’autenticazione a più fattori è possibile ipotizzare che il malcapitato avrebbe di lì a poco ricevuto una telefonata o un messaggio nel quale gli si chiedeva di inserire il codice OTP ricevuto dalla propria banca. Non è nemmeno necessario specificare quanti danni può arrivare a causare una simile campagna di phishing, anche perché molto spesso queste offensive si basano su un solo istituto di credito mentre in questo caso ne è stata sfruttata una grandissima quantità.
Il CERT-AgID ha subito diffuso una nota per chiedere agli utenti di prestare attenzione a questi messaggi, indicando anche di controllare sempre in modo attento gli URL di destinazione dei messaggi ricevuti. È chiaro che i domini fraudolenti di destinazione sono stati prontamente segnalati alle autorità, che ne hanno richiesto la chiusura immediata in modo da bloccare qualsiasi altro tentativo di truffa.