Abbiamo recentemente parlato di tutte le nuove truffe perpetrate ai danni degli utenti italiani della rete, presi di mira da diverse trappole inviate via mail o via SMS con lo scopo di rubare informazioni, dati di pagamento, accesso a caselle mail o a profili personali e quant’altro. Anche oggi vediamo le ultime campagne riscontrate da CERT-AgID nel nostro paese, con particolare attenzione per due minacce diverse, con la prima che opera via PEC e la seconda che opera su mezzi più tradizionali.
Ebbene sì, ci ritroviamo a parlare di campagne veicolate utilizzando caselle di posta certificata già violate in precedenza e con le quali si mira a far cadere in trappola altri utenti della rete diffondendo un malware che si installerebbe nei sistemi delle vittime, ovvero Stealc. All’interno dei messaggi PEC che vengono inoltrati viene sempre inserito un link che porta al download di file JavaScript dannosi utilizzando la scusa di una fattura non pagata e quindi da scaricare per prenderne visione. Peccato che, come vediamo da ormai tantissimi mesi, questo link porta praticamente all’installazione di un virus che mira al furto di informazioni. Per fare andare a segno con maggior probabilità la truffa sono stati utilizzati 150 domini ad-hoc, attivati strategicamente nelle prime ore lavorative della mattina, così da dare modo di far confondere le PEC incriminate con messaggi invece legittimi. Scendendo più nello specifico, sembra che Stealc, che ormai rientra nella categoria Malware-as-a-Service visto l’utilizzo a pagamento che ne fanno vari gruppi hacker, serve per rubare dati finanziari presenti negli wallet digitali, dati d’accesso ai client di posta, dati presenti nei browser e nelle estensioni.
Ovviamente CERT-AgID si è messo in moto subito dopo le primissime segnalazioni e come si è potuto vedere, così come abbiamo più volte raccontato anche su questo blog, hanno avvisato i gestori PEC coinvolti per effettuare operazioni coordinate di arginamento. Ovviamente il consiglio è sempre quello di analizzare bene i messaggi PEC che si ricevono e di non pensare mai alla posta certificata come ad uno strumento scevro da rischi, poiché questa campagna non si fermerà qui e sicuramente se ne susseguiranno di nuove anche nei prossimi mesi ed anni.
È così che passiamo al secondo caso citato da CERT-AgID questa settimana, ovvero una campagna phishing più “tradizionale” che prende di mira gli utenti SPID per riuscire a rubare loro gli accessi e quindi le identità digitali. Questa campagna, costruita sfruttando ovviamente tutti i loghi ufficiali di AgID oltre ad un dominio pericolosamente simile a quello originale (agidgov.com), si basa sul senso di urgenza da far provare alla potenziale vittima, alla quale viene detto che le verrà sospeso molto presto lo SPID e che deve aggiornare i dati. Ovviamente viene inserita anche una data entro la quale effettuare le operazioni sui documenti ed un pulsante legato ad un link che recita “Aggiorna la documentazione”. Facendo clic appare proprio una maschera di login su una pagina tutta a tema SPID che mira ovviamente a rubare le credenziali d’accesso all’identità digitale oltre alle copie dei documenti che verranno caricati nei passaggi successivi ed i video registrati su richiesta del sistema per dimostrare la propria identità seguendo le istruzioni, proprio come quando si attiva uno SPID. Viene spontaneo capire adesso che con questi documenti e video si mira alla creazione di nuove identità digitali fraudolente e quindi effettuare azioni sotto falso nome.
Il CERT-AgID anche in questo caso si è messo in moto, anche in quanto parte direttamente lesa, richiedendo innanzitutto la rimozione dell’URL malevolo e poi consigliando a tutti gli utenti di non fidarsi mai di email contenenti certi tipi di avvisi o allerte, che sono sempre sospette e quindi da inoltrare alla mail di CERT-AgID e poi cestinare. Va poi sottolineato che in questo approfondimento e nell’avviso di CERT-AgID si parla di messaggi inoltrati via email, ma certe comunicazioni arrivano sovente anche via SMS, pertanto è giusto allertare sul fatto che, come ormai sappiamo, anche questo mezzo non è esente da pericoli.
