Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

L'ANALISI TECNICA

Phishing a tema SPID: a rischio le credenziali di accesso al servizio e a istituti bancari

I criminal hacker hanno lanciato una campagna di phishing a tema SPID: grazie a un dominio registrato ad hoc, astutamente simile a quello originale, mirano a rubare le credenziali di accesso al servizio e a undici differenti istituti bancari. Ecco i dettagli e come difendersi

Pubblicato il 22 Feb 2024

Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Phishing nuove tecniche

È stata individuata una campagna di phishing a tema SPID tramite un dominio registrato ad hoc.

Si tratta di un tentativo di rubare le credenziali di accesso sia al servizio SPID che a undici istituti bancari (BNP, Credem, Fineco, ING, InBank, Intesa, Mediobanca, Mediolanum, Poste, Sella, Unicredit), sfruttando un dominio fraudolento che imita quello ufficiale e dedicato allo SPID che, lo ricordiamo, è il seguente: https://www.spid.gov.it/.

Phishing a tema SPID: cosa è accaduto

Dalle analisi condotte dai ricercatori di sicurezza è emerso che numerosi utenti hanno ricevuto un’email o un SMS che li invitava a verificare la loro identità SPID tramite un link indicato nel messaggio.

In realtà, cliccandoci sopra, la vittima veniva reindirizzata verso il falso sito dove inserire i propri dati personali e bancari che, ovviamente, finivano nelle mani dei criminal hacker.

“Questo attacco però non si limita solo a compromettere l’accesso al Sistema Pubblico di Identità Digitale, ma utilizza il sistema SPID come pretesto per indurre gli utenti a fornire le proprie credenziali bancarie”, spiegano gli esperti del CERT-AgID.

“Gli utenti che cadono in questa trappola sono indotti a inserire le proprie credenziali bancarie sotto la falsa convinzione che sia necessario per completare la verifica dell’identità SPID. Queste informazioni sensibili vengono, quindi, rubate dagli attaccanti, mettendo a rischio la sicurezza finanziaria degli utenti.

https://cert-agid.gov.it/wp-content/uploads/2024/02/phishing_spid_banca.png

Fonte: Cert-AgID.

Come proteggere la propria identità digitale SPID

Questa campagna di phishing è stata individuata da D3Lab e segnalata dal CERT-AgID, il Computer Emergency Response Team Italiano per la sicurezza informatica, che ha subito intrapreso le misure necessarie per contrastare l’attacco e proteggere gli utenti.

Infatti, il dominio malevolo registrato il 17 febbraio 2024 con il nome di “spid-it[.]info” è stato prontamente disattivato.

Ma questo non diminuisce il livello di rischio per gli utenti in quanto i criminal hacker potrebbero registrare un nuovo dominio e riprendere la campagna malevola.

Il CERT-AgID raccomanda, quini, di prestare molta attenzione quando si utilizzano le proprie credenziali SPID online e di verificare sempre l’autenticità dei siti web contattati prima di inserirle nei moduli di autenticazione ai servizi.

Si consiglia, inoltre, di non aprire o rispondere a e-mail o SMS sospetti che chiedono di verificare la propria identità SPID o di fornire i propri dati bancari. In caso di dubbi o sospetti, è sempre bene contattare il proprio gestore SPID o istituto bancario per verificare la legittimità delle richieste e, in caso di frode, denunciare il fatto alla Polizia Postale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Ransomware ESXi, falso password manager KeePass sotto attacco: come proteggersi

  • sicurezza nazionale

    Ransomware, una legge per vietare il pagamento dei riscatti: utile, ma non basta

    08 Mag 2025

    di Marco Tullio Giordano

    Condividi
  • Out of distribution (Ood): come riconoscere quando l'AI non sa; Dall'entusiasmo all'adozione strategica: un framework

  • INTELLIGENZA ARTIFICIALE

    Out of Distribution (OoD): cos'è e come riconoscere quando l'AI non sa

    03 Lug 2025

    di Vincenzo Calabrò

    Condividi
  • Responsabile della transizione digitale (Rtd): compiti, nuove deleghe e carico di lavoro crescente

  • pnrr e PA digitale

    Responsabile della transizione digitale: compiti, nuove deleghe e carico di lavoro crescente

    02 Lug 2025

    di Fabio Calderara, Andrea Marella e Andrea Tironi

    Condividi
  • L'evoluzione delle CVE: la necessità di un approccio europeo

  • l'analisi

    In cassa integrazione per colpa del ransomware: sempre più casi in Italia

    20 Feb 2025

    di Dario Fadda

    Condividi