Lo SPID è uno degli argomenti più battuti da coloro che intendono lanciare offensive via email generalizzate, visto che possono potenzialmente riguardare quasi tutti gli utenti del web del nostro paese. Come sappiamo dai costanti aggiornamenti di questo blog e grazie alle descrizioni delle truffe che vengono effettuate dal CERT-AgID, ogni anno vengono segnalate decine e decine di campagne phishing che sfruttano il tema dell’identità digitale per colpire quante più persone possibile e mirando ad obiettivi diversi. Talvolta, infatti, si punta a rubare l’identità per poi approfittarne ed entrare su sistemi pubblici e modificare le direttive di pagamento di qualche emolumento pubblico come la pensione, mentre altre volte si punta direttamente a fare effettuare pagamenti per sedicenti rinnovi di SPID scaduti.
Tornando al caso che raccontiamo oggi, il 19 gennaio scorso è stata individuata una campagna che sfrutta appunto il sistema di identità digitale per rubare dati come quelli bancari e anagrafici delle persone. Tutto questo viene fatto mediante una email che come oggetto ha una frase che come al solito punta sul senso d’urgenza dell’utente chiedendo la conferma dei dati associati al proprio SPID o la verifica di una fantomatica richiesta di identità digitale. Nelle email si chiede di entrare nelle aree ufficiali di SPID apponendo bottoni o link che testualmente sembrano veri ma che in realtà portano a URL diversi. Questo perché in questo caso è palese che per creare, in modo abbastanza simile all’originale ma sicuramente perfettibile, il portale ufficiale dello SPID è stata utilizzata la piattaforma Google Sites, come si vede proprio nella barra degli indirizzi in modo molto chiaro.
Ci sono poi altri elementi di disturbo come i font del colore sbagliato ed un aspetto un po’ troppo “basic” rispetto ai portali delle pubbliche amministrazioni, ma va detto che forse l’utente molto ignaro potrebbe confondersi e cadere lo stesso in trappola. Nella pagina d’atterraggio, comunque, viene visualizzato un form nel quale inserire nome e cognome, data di nascita, indirizzo, CAP, email personali e numeri di telefono per concludere con il proprio IBAN e la banca di riferimento, che si può scegliere da un menu a tendina che presenta i principali istituti italiani. Una volta effettuata la scelta della banca, ma non viene chiesto l’accesso alle aree personali bancarie né di inserire alcuna credenziale. C’è da dire che questa è verosimilmente una truffa “di tramite”, poiché chi l’ha architettata sta puntando innanzitutto alla raccolta di più dati possibili da sfruttare poi in un secondo momento per altre offensive molto più mirate.
Ciò non toglie che anche questa campagna di phishing a tema SPID deve assolutamente destare curiosità e preoccupazione poiché segnala come gli hacker siano sempre attentissimi a poter cogliere ogni singola possibilità per trafugare dati e informazioni personali. Allo scopo di fermare l’offensiva, il CERT di AgID ha chiesto di disattivare ovviamente la pagina di atterraggio a Google Sites, raccomandandosi però di stare estremamente attenti a questo tipo di messaggi, guardando bene il mittente e, appunto, le landing page, che come abbiamo visto molte altre volte possono nascondere insidie e possono essere molto più simili alle originali di quelle di cui abbiamo parlato in questo breve aggiornamento.
Fonte: 1
