È passato pochissimo tempo da quando abbiamo parlato di una massiccia campagna indirizzata, logicamente, solo ad utenti italiani e che mette potenzialmente in pericolo qualsiasi individuo che possiede una identità SPID. La campagna, descritta da noi in data 26 giugno, si distingueva per la discreta sofisticazione con la quale era stata preparata, questo perché le pagine di appoggio avevano URL molto verosimili e che potevano quindi trarre meglio in inganno. Oltretutto anche la costruzione delle pagine era fatta in modo abbastanza meticoloso, con campi che chiedevano dati in modo convincente e richieste come la registrazione di video e scatti di “selfie” che sarebbero dovuti servire a non fare scadere il proprio SPID ma che in realtà come al solito sarebbero stati usati per aprire nuove identità a nome altrui.
Siamo arrivati al 10 luglio ed il CERT-AgID ha dato un nuovo aggiornamento circa un’altra, differente, campagna phishing a tema SPID che è stata notata online in questi giorni e che anche in questo caso ha preso di mira tanti utenti. La campagna è stata perpetrata solo ed esclusivamente mediante email, inviate peraltro utilizzando apparentemente l’indirizzo noreply@spid.gov.it ma essendo privo di certificati fondamentali come il DKIM, che garantisce l’autenticità, si riesce a scoprire ben presto che l’indirizzo è differente. L’oggetto della email fraudolenta è invece, già di partenza, un po’ sgrammaticato in quanto recita “Suo certificato è stato appena rinnovato”, cosa anch’essa che può fare comunque presagire un po’ di problemi. Facendo clic sul link presente nella mail si atterra su una finta pagina di login per il servizio SPID, peraltro molto generica ed anche questa errata, poiché ogni erogatore di identità ne ha una sua.
In questo specifico caso l’URL di appoggio della truffa non è minimamente simile o scambiabile per quelli ufficiali del sistema legato ad AgID, quindi a differenza della truffa denunciata in giugno in questo caso solo la già citata mail del mittente è “pericolosa”. Basta, come sempre, avere un po’ più di attenzione e questa truffa potrà pertanto essere facilmente sventata. Ciononostante AgID ha già messo in moto la sua macchina organizzativa al fine di evitare problemi, pertanto ha chiesto di disattivare il dominio che ospitava le pagine d’atterraggio così come la cancellazione dell’hosting. Ovviamente, l’invito è anche quello di segnalare all’indirizzo malware@cert-agid.gov.it qualsiasi tipo di messaggio sospetto che si riceve. In ultimo, CERT-AgID pone l’accento anche su coloro che dispongono di loro servizi di posta, esortandoli, come fatto anche spesso su questo blog, ad impostare i vari protocolli SPF, DMARC e DKIM al fine di evitare blocchi indesiderati dei propri messaggi e prevenire le pratiche del cosiddetto spoofing, ovvero la falsificazione dell’identità.
Abbiamo parlato nuovamente, e torneremo anche a parlarne, molto verosimilmente, di una nuova truffa legata ai sistemi SPID, che però rispetto alla precedente si rivela piuttosto blanda e facilmente sventabile. Questo susseguirsi di tentativi di furto di identità digitali avviene in un momento particolarmente vicino all’annuncio di qualche settimana fa, nel quale è stato detto che il sistema CIE dovrà soppiantare quello dello SPID tra poco più di un anno. Rispetto a SPID, che comunque conta una platea di più di 40 milioni di utenze attive, il furto dell’identità legata al sistema CIE è maggiormente difficile, perché ad esempio non viene fatto alcun riconoscimento video per attivarla ma arriva direttamente a casa agli utenti. Questo spingerà, anche nei prossimi mesi, a cercare di rubare quanti più accessi possibili per poter portare avanti altre truffe, pertanto è importantissimo rimanere aggiornati e seguire i consigli di CERT-AgID.
Fonte: 1
