Molte volte abbiamo sottolineato come nelle truffe online si sfruttino elementi di interesse delle persone o delle aziende messe nel mirino per fare in modo che possano cadere in trappola più facilmente. Tra queste strategie rientra sicuramente il senso di “spavento” che porta poi alla fretta di risolvere la problematica riportata nelle email fasulle. Talvolta questo senso di fretta viene instillato parlando di cose molto blande, come uno sconto irrinunciabile pronto a scadere, cosa che spinge ad acquistare presto un prodotto o un servizio, mentre in altre situazioni si minaccia la sospensione o cancellazione di servizi essenziali, cosa che crea più preoccupazione.
È proprio il secondo esempio sopra riportato quello che più aderisce alla campagna di phishing riscontrata in Italia negli ultimi giorni da CERT-AgID, che in questo caso ha messo però nel mirino delle persone che potrebbero addirittura avere problemi di comprensione totale del testo, visto che si fa leva sul permesso di soggiorno. Facendo un passo indietro, il collettivo di AgID che si occupa delle frodi informatiche ha riscontrato una serie di email fraudolente che fa leva sull’inizio delle attività del Sistema di Ingressi e di Uscite (EES), in vigore in Italia a partire dal 12 ottobre, il cui monito è la registrazione dei dati personali di coloro che vengono nel nostro paese per un periodo di tempo limitato e provengono da paesi fuori dall’area UE e Schengen. Fin qui è tutto reale, l’EES esiste ed è realmente entrato in funzione, ma il giorno dopo l’inizio della sua operatività è stato riscontrato un nuovissimo dominio fraudolento, molto simile a quello reale, sul quale è stato basato un portale malevolo sfruttando proprio questa novità nel campo dei permessi di soggiorno.
Il dominio ufficiale, è bene sottolinearlo, è vistoperlitalia.esteri.it, mentre, molto pericolosamente, l’URL fasullo fatto pervenire a coloro che sono finiti nel mirino è verifica[.]vistoperitalia-esteri[.]it, che presenta varie, ma quasi impercettibili, differenze. Innanzitutto, “verifica.” non è presente nel sito ufficiale del Ministero, mentre il resto del dominio è, scritto con gli spazi, “visto per l’Italia” e non “visto per Italia” come nel secondo caso. Cliccando sul link, il malcapitato finisce su una pagina con una grafica molto simile all’originale, sulla quale viene chiesto di inserire i propri dati anagrafici, quali cognome e numero di documento d’identità, che poi vengono ovviamente trafugati.
Non è ancora stato chiarito da CERT-AgID quali siano gli scopi di coloro che hanno messo su con questa solerzia questo portale, ma l’impegno profuso nell’attività dovrebbe portare probabilmente a qualcosa con lo scopo di rubare denaro. Tra le ipotesi sul tavolo c’è quella della truffa tramite falsificazione per poi contattare la vittima, fingendosi qualche ente pubblico, per chiedere soldi in cambio di sblocco di pratiche. Non è da escludere nemmeno l’invio di altre comunicazioni alle persone finite nella trappola, sempre a scopo di truffa, come ad esempio finte email di ambasciate o altri enti sovranazionali.
Nei giorni successivi alla rapida registrazione del dominio fraudolento, attivato il 13 ottobre, sembra essere poi cambiato il sistema utilizzato dagli hacker per raccogliere i dati, utilizzano ovvero un dominio esterno e sfruttando una piattaforma gratuita che consente di raccogliere dati in tempo reale. Questo lascia presagire la memorizzazione di tutto ciò che gli attaccanti riescono a rubare all’interno di un server remoto, dopo il primo test sulla manovra d’attacco operata a partire da due giorni prima. Ovviamente CERT-AgID ha messo sotto la lente d’ingrandimento il tutto e sta seguendo con attenzione l’evolversi della minaccia, innanzitutto chiedendo che il dominio fasullo venga eliminato e chiedendo come sempre la massima collaborazione a tutti coloro che possono essere coinvolti nella minaccia. Il fatto che si tratti di persone che richiedono il permesso di soggiorno per brevi periodi, e che quindi potrebbero non conoscere bene la lingua, sicuramente non aiuta in questa fase di collaborazione, per questo è importante che l’informazione sulla campagna phishing in atto si espanda il più possibile.
Fonte: 1
