A partire da marzo 2025, CERT-AgID ha iniziato a dare, purtroppo, moltissimi aggiornamenti riguardo ad una truffa via email che sfrutta in modo malevolo il nome di PagoPA per indurre le potenziali vittime a fare clic su link fasulli ed effettuare una serie di operazioni. L’alto numero di campagne registrate, in alcuni casi diverse solo per alcuni dettagli e in altri casi del tutto differenti, ha fatto allertare tutti gli esperti del nostro paese, che tramite gli alert pubblicati da CERT-AgID sono riusciti a conoscere maggiori dettagli sulle oltre 45 campagne riscontrate “soltanto” nei primi tre mesi dalle prime segnalazioni.
Negli ultimi giorni invece è arrivato un nuovo allarme, sempre riferito a PagoPA e sempre rivolto ovviamente ai cittadini italiani, che anche in questo caso dovranno fare molta attenzione ai messaggi ricevuti. Anche stavolta si parla di multe ricevute, cosa accaduta anche nei vari aggiornamenti dei mesi scorsi, ma la campagna è stata modificata. Questo perché adesso viene sfruttato quello che si chiama open redirect ovvero il reindirizzamento su un sito malevolo a partire però da un sito legittimo. I siti “buoni” sono stati creati appositamente dai criminali utilizzando domini di Google, quindi apparentemente legittimi, di modo da abbassare le possibilità di finire in spam e sembrare sospetti. Negli URL ai quali si cerca di far effettuare il redirect si nota benissimo che sembra di cliccare su un dominio Google ma osservando più avanti si nota un parametro che fa sì che si finisca sul vero dominio dove gli hacker vogliono portare le potenziali vittime.
Più nello specifico, si usa un dominio Google di terzo livello, ovvero adservice[.]google[.]be, che a prima vista come abbiamo detto può dare quasi tranquillità se si decide di effettuare il clic. C’è da dire e sottolineare, tuttavia, che se riceviamo una mail da parte di un ente pubblico che ci notifica una multa sarà molto difficile che il link da cliccare metta in bella mostra il nome Google anziché usare domini istituzionali, ma anche su questo faremo una riflessione a margine del breve approfondimento. Se un malcapitato utente fa clic sul link, come viene mostrato da CERT-AgID nel suo alert, si finisce su una pagina che si appoggia al dominio bio[.]site, ovvero una piattaforma reale in grado di far generare pagine web con le proprie presentazioni, lo stesso meccanismo usato da altri noti portali, sempre sfruttati a loro volta per truffe online.
Sempre nella pagina sopracitata vediamo un titolo che ci dice che si tratta del Sistema Nazionale delle Infrazioni Stradali, mentre nel sottotitolo viene detto che, riassumendo, è stata notificata una multa per divieto di sosta, poi si chiede di fare clic sulla voce Accedi al servizio di regolamento. Un clic inavvertito e ci si ritrova sul vero sito di phishing, nel quale viene ricreata una finta pagina PagoPA nella quale è presente un form tramite il quale si chiedono dati come nome, cognome, data di nascita, CAP e indirizzo email. Altro fattore di sospetto, pure in questo caso, deve provenire dall’URL di atterraggio, che presenta una storpiatura del nome PagoPA e oltretutto è un terzo livello di privatedns.org, portale realmente esistente e che consente la creazione gratuita di sottodomini. Non c’è neanche da spiegare come mai gli hacker utilizzano spesso questo genere di servizio, visto che in modo gratuito consente di creare pagine che, solitamente, vengono tenute come test temporaneo e poi cancellate mentre in questo caso vengono impostate come finti portali ufficiali anche per la difficoltà di essere tracciati.
Da notare come nella pagina d’atterraggio si possa ritrovare anche un footer molto simile a quello originale nel quale, probabilmente senza alcun seguito, si chiede al visitatore se è un privato, un ente o un’azienda. Ovviamente viene chiesto anche il pagamento della multa di circa un centinaio di Euro, come minimo, tramite il quale vengono anche sottratti i dati di pagamento della vittima. CERT-AgID spiega che questa modalità d’attacco, ovvero il redirect da siti Google e l’uso di portali come PrivateDNS non è una novità assoluta nel mondo delle truffe online, perché già due anni fa veniva spiegato in siti di tutto il mondo che varie truffe che al tempo venivano perpetrate su domini di diverse estensioni, compreso il .IT. Nelle truffe degli anni scorsi, veniva modificata la pagina d’atterraggio in base al visitatore, mentre nella campagna spiegata in questo approfondimento essa non cambia, poiché viene sfruttata la fiducia in PagoPA, che a partire dal marzo scorso è stata vittima suo malgrado di campagne basate sulla sua reputazione. Le segnalazioni che sono state fatte in questi mesi sono arrivate a oltre 220 attacchi phishing con un crescendo di incidenza via via che si va avanti coi mesi. Il picco, in tal senso, si è avuto nella seconda metà del mese di settembre scorso, ma i livelli non si sono ancora abbassati.
Questo genere d’attacco, per quanto sia stata tentata una certa sofisticatezza nella creazione di pagine e di URL che possano passare come veritieri, è comunque abbastanza evitabile, basta aguzzare maggiormente la vista e notare quei piccoli, ma neanche troppo, dettagli dei quali abbiamo accennato anche nei paragrafi precedenti. Riassumendo, nel primo URL d’atterraggio, quello che poi fa redirect, si vede anche il vero dominio sul quale si atterra ma soprattutto gli enti pubblici non inoltrano link di Google. Nel secondo caso, quello del sito in stile Linktree modificato ad hoc per indurre a fare clic sul tasto centrale, si vedono alcuni fattori strani come il tasto “crea il tuo bio site gratuito”, cosa assolutamente impossibile su un sito di una PA. In terzo luogo, l’URL della pagina in cui vengono raccolti e rubati i dati è palesemente diverso a quello originale di PagoPA, oltre ad essere visibilmente un sottodominio di un servizio per la creazione di pagine temporanee.
