Le minacce online, come spieghiamo spesso, possono avere diversi scopi e soprattutto possono essere mirate a determinate persone, magari architettando il tutto in vari step per poi arrivare all’obiettivo finale. Detto in questo modo sembra un concetto molto nebuloso, ma grazie all’esempio che portiamo oggi grazie alla segnalazione fatta nei giorni scorsi da CERT-AgID lo sarà molto meno. Il caso di oggi infatti è sicuramente circoscritto ad un singolo settore, ma spiega alla perfezione come mai non ci si può sentire mai effettivamente al sicuro anche quando a margine di un attacco non si è ancora assistito ad alcun effetto immediato.
CERT-AgID, in data 10 dicembre, ha segnalato una nuova campagna che punta infatti agli account delle Pubbliche Amministrazioni, ovviamente tramite mail malevole e spear phishing, aggiungendo che le prime tracce dell’offensiva si sono avute a partire dall’8 dicembre. La cosa più importante di questa truffa è che le email che miravano a truffare i destinatari provenivano da altre caselle email compromesse, cosa piuttosto frequente in tutti gli attacchi phishing, ma questi account erano di proprietà di altre Pubbliche Amministrazioni. Appare quindi evidente che in passato altri attacchi sono riusciti a fare breccia in questi profili ed hanno iniziato ad inoltrare mail nel momento in cui si è passati ad attaccare altri enti pubblici per lo stesso scopo. La costruzione della truffa è abbastanza banale, tuttavia, poiché viene inviato un messaggio con il testo in inglese o in italiano che invita ad aprire il PDF allegato.
Nel file, che contiene a sua volta testo in inglese, è presente un altro link, che rimanderebbe a documentazione contrattuale di non meglio precisata natura che sarebbe da rinnovare facendo clic. Dopo aver cliccato si finisce su una pagina del servizio Figma, che consente la creazione di pagine in modo semplificato, nella quale si chiede all’utente di accedere tramite email per visualizzare i file. Fatto il login viene chiesto di attendere per la visualizzazione, ma CERT-AgID non è ancora in grado di comunicare cosa succede dopo questa attesa. Ovviamente si può credere che sia tutto mirato alla raccolta fraudolenta di account mail o possibilmente un passaggio intermedio per una offensiva ancora più potente tramite link o altri allegati, utilizzando a proprio vantaggio il fatto che in questa campagna l’utente si è fidato.
Ovviamente sono ipotesi, ed il motivo l’abbiamo già specificato, ovvero non si sa cosa accade dopo l’inserimento delle credenziali, ma è chiaro che non fa presagire nulla di buono e punta sicuramente ad espandersi a diverse Pubbliche Amministrazioni. Secondo i dati raccolti da CERT-AgID al momento sono state sicuramente due le PA che sono cadute in questa trappola ed alle quali hanno violato le caselle email per veicolare questa campagna malevola, ma non è da escludere che già a questo passaggio ce ne siano altre che sono già state coinvolte. Anche questo dato è difficile da raccogliere, poiché non si vede mai chi è stato inserito tra i destinatari, che vengono messi tutti in CCN, cosa che permette solo di vedere chi invia ma non chi per qualsiasi motivo è finito nella lista degli “attaccabili”. Quello che invece viene chiesto da AgID è di avvertire le amministrazioni che si riescono a vedere coinvolte così come la segnalazione dei link di Figma sui quali si atterra, operazione che va fatta nei confronti della piattaforma stessa alla voce Report Abuse.
Fonte: 1
