Torniamo a parlare delle segnalazioni fatte da CERT-AgID per il nostro paese e, soprattutto, torniamo anche a vedere come le “vecchie” minacce già analizzate in breve su questo blog si facciano ancora sentire e stiano perpetrando i loro peggiori e più indesiderati effetti. Premettendo come questo team interno di AgID agisca a tutela dei cittadini italiani segnalando puntualmente di settimana in settimana le principali campagne rilevate raccontando anche in taluni casi come sono strutturate e quali sono i punti sui quali prestare maggiore attenzione.
Iniziamo dalla prima delle due segnalazioni più recenti, nella quale si torna a parlare delle campagne smishing che già più volte abbiamo analizzato nei nostri articoli e che stanno andando avanti ormai da diversi mesi. In un aggiornamento del 25 marzo, CERT-AgID ha spiegato come esse non siano certo finite ma racconta anche di come stiano iniziando a produrre i peggiori risultati. Ricordando che queste campagne usavano i loghi INPS e miravano e mirano a rubare le identità chiedendo copie dei documenti delle vittime corredate anche di foto del loro volto, viene segnalato che, appunto, gli sforzi profusi per bloccare queste offensive non sono ancora riuscite a bloccare o arginare il fenomeno. Nello specifico sono stati rimossi i domini delle pagine di atterraggio e sono stati coinvolti anche tutti i soggetti interessati quali gli enti pubblici ed i provider oltre allo stesso ente previdenziale, ma le persone che cadono nella truffa continuano comunque ad aumentare.
Viene messo a disposizione anche un grafico che mostra come da cinque anni a questa parte, ovvero il periodo di durata di queste campagne, i numeri non stiano facendo altro che lievitare, e questo mette a serio rischio un grosso numero di persone. Oltre al furto dell’identità digitale mediante la creazione di falsi SPID va aggiunta anche la vendita dei dati in rete, cosa che, come documentato da CERT-AgID, sta già avvenendo. Dal contenuto dei pacchetti di dati si intuisce come essi siano proprio quelli trafugati, poiché vengono offerte foto dell’utente, documenti e copie fronte-retro di quest’ultimi, aggiungendo al tutto alcuni sample delle foto dei nostri concittadini caduti nella trappola di un falso rimborso promesso da INPS. Vedremo nei prossimi aggiornamenti se questa pubblicazione rimane un caso isolato o se ce ne saranno altre.
Andando ad un altro aggiornamento, sempre datato 25 marzo, vediamo anche come stiano proseguendo le campagne di phishing veicolate via PEC utilizzando caselle di posta certificata già compromesse, stavolta però non viene diffuso il malware Vidar come in passato bensì AsyncRat. Le modalità di attacco, anche seguendo le parole di CERT-AgID, sono esattamente le stesse di quelle già viste, ovvero il messaggio di posta certificata nel quale si chiede di visualizzare una fantomatica fattura non pagata. L’allegato ovviamente contiene il malware già specificato precedentemente, un trojan che garantisce l’accesso da remoto agli hacker. Come sempre, la leva principale che viene sfruttata per fare breccia nei sistemi delle potenziali vittime è quella della maggior fiducia riposta nello strumento della PEC, che viene vista erroneamente come una casella dalla quale non possono uscire mail malevole.
Ciò che è certo è che, nonostante sia cambiato il malware installato, dietro a queste campagne ci siano sempre le stesse persone, che stanno adattando continuamente la loro strategia d’attacco per trovare sempre maggiori possibilità di fare breccia. Oltretutto, secondo gli esperti, il malware AsyncRat a differenza di Vidar non ruba le password e le informazioni finanziarie ma fa direttamente breccia nei sistemi consentendone il controllo remoto, conferendo quindi maggior potere all’attaccante. Anche in questo caso CERT-AgID ha collaborato con le aziende che erogano le caselle PEC coinvolte loro malgrado nella campagna.
