Nei mesi scorsi ci siamo più volte occupati di problemi legati alla sicurezza degli utenti italiani, grazie soprattutto agli aggiornamenti periodici diffusi da CERT-AgID che approfondiscono le offensive maggiormente pericolose. Facendo un piccolo sforzo di memoria ci potremmo ricordare infatti che già dal marzo scorso sono iniziate campagne mirate che puntano ai profili INPS dei nostri connazionali così come da ormai un paio di anni si cerca di diffondere diversi malware utilizzando messaggi malevoli di posta certificata.
Nell’ultima settimana, dopo una sorta di pausa estiva, sono ricominciate le campagne spam e malware sopracitate e, sempre lo stesso CERT-AgID, ha raccontato le caratteristiche di questi nuovi tentativi di truffa ai danni degli utenti del nostro paese. Come ricordiamo dai vecchi articoli, l’ultimo di marzo 2025, molti italiani hanno segnalato la ricezione di messaggi, talvolta email e talvolta via SMS, che avvisavano con grande urgenza la mancata convalida di alcuni documenti INPS e la necessità di riguardarli collegandosi a un link fornito nel testo. Anche nei mesi successivi questi tentativi sono ritornati ad affacciarsi in altre maniere e, al 2 settembre, è stata data la notizia di una nuova offensiva, che è partita da messaggi SMS.
Anche adesso, nei messaggi viene inserito un URL che in nessun modo, peraltro, richiama all’istituto previdenziale italiano, chiedendo l’aggiornamento delle informazioni personali a chi lo riceve. L’operazione è ovviamente ultimabile collegandosi e sarebbe legato a doppio filo con la continuazione dell’erogazione degli emolumenti pensionistici. Ovviamente è tutto falso, ma collegandosi si può vedere una pagina web nella quale ci vengono richiesti il nostro IBAN e soprattutto una serie di foto fronte-retro di documenti come la carta d’identità, la tessera sanitaria e la patente, oltre alle copie delle buste paga ed un autoscatto con il documento in mano.
Prendendo possesso di questi dati, i criminali possono fare diverse cose, come ad esempio la creazione di SPID a nome delle vittime, cosa per la quale, presso alcuni erogatori, potrebbero non bastare neanche i dati trafugati. Con uno SPID si può poi avere accesso a nome della vittima ai servizi della PA arrivando persino a modificare le coordinate bancarie verso le quali vengono effettuati i pagamenti da INPS. Come sempre, anche la sola raccolta di documenti e dati personali delle vittime per scopi economici, banalmente la messa in vendita online, è un’altra attività che gli hacker portano spesso avanti. Evitare queste truffe è tutto sommato semplice, basta controllare bene i link, le pagine di atterraggio e la corretta provenienza, in questo caso, degli SMS, ma anche delle email che si ricevono.
Altra ripartenza dopo le “ferie” d’agosto è quella della campagna veicolata tramite messaggi di posta certificata, anch’essa già citata più volte e sulla quale abbiamo raccontato soprattutto la strategia d’invio seguita dagli hacker. In questo caso, la scelta del giorno di inoltro dei messaggi malevoli era mirata a far confondere quest’ultimi coi messaggi legittimi, pertanto venivano inviati il lunedì mattina o comunque nei giorni immediatamente successivi ai festivi, di modo da puntare sulle distrazioni. Il malware che in questo momento si prova a distribuire, dopo Vidar, è MintsLoader, cosa già vista anche in giugno, e per meglio diffonderlo è stato un po’ modificato il messaggio di posta certificata inserendo un file compresso al posto del link sulla parola Fattura oltre ad altre modifiche maggiormente tecniche.
Tutto il resto, tuttavia, mantiene regolarmente il copione delle campagne già viste, quindi messaggi provenienti da caselle PEC già violate per dare l’assalto alle workstation delle potenziali vittime, soprattutto se utilizzano i sistemi Microsoft, e poter poi rubare informazioni tramite il malware MintsLoader. Per quel che riguarda le tempistiche, invece, si conferma la strategia vista in precedenza che punta sempre all’invio dei messaggi effettuato in modo da farli mischiare con quelli legittimi e puntare sulla distrazione. Grazie ad uno schema diffuso da CERT-AgID possiamo quindi vedere che i messaggi di phishing vengono inoltrati sempre la mattina, tendenzialmente il lunedì (2 casi su 3) o dopo le festività. Considerando che l’attacco è stato segnalato in data 2 settembre si è in questo caso atteso il rientro definitivo dalle ferie estive.
Anche in questo caso si consiglia ovviamente di non scaricare mai i file Zip contenuti nella mail che come oggetto spiegano che ci sono fatture scadute. Molto banalmente, prima di interagire con qualsiasi file contenuto in queste email è più corretto controllare la veridicità dei messaggi utilizzando canali alternativi a quelli digitali, quindi banalmente telefonando o controllando la fatturazione.
