Il CERT-AgID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) ha segnalato una nuova campagna di phishing che prende di mira gli utenti SPID, sfruttando indebitamente il nome e il logo dell’AgID per trarre in inganno le vittime.
Non si tratta della prima volta: sono già numerosi i tentativi documentati negli ultimi anni, segno che l’identità digitale rappresenta un obiettivo privilegiato per i cyber criminali.
Indice degli argomenti
Phishing a tema SPID: come funziona l’attacco
La truffa si diffonde tramite un’e-mail con oggetto allarmante: “Sospensione imminente SPID: azione obbligatoria”.
Il messaggio induce l’utente a cliccare su un pulsante per aggiornare la propria documentazione entro un termine perentorio.
Fonte: CERT-AgID.
In realtà, il collegamento rimanda a un dominio fraudolento, agidgov[.]com, recentemente registrato e privo di qualsiasi legame con l’AgID.
Il dominio non è in alcun modo riconducibile all’Agenzia per l’Italia Digitale.
Il sito malevolo mira a sottrarre informazioni sensibili tra cui credenziali di accesso SPID, copie di documenti d’identità, video di riconoscimento.
“L’obiettivo della campagna è sottrarre le credenziali SPID delle vittime, insieme a copie di documenti di identità e a video registrati secondo istruzioni specifiche per la procedura di riconoscimento, come: “Guarda verso la telecamera. Rimani serio, poi sorridi”, spiegano nel rapporto gli analisti del CERT-AgID.
Ecco la sequenza delle pagine web che venivano propinate in cascata e segnalate dal CERT-AgID: si tratta di pagine PHP che trasmettono le informazioni al proprio server C2 tramite richieste HTTP POST.
“https://agidgov[.]com/login/”.
“https://agidgov[.]com/login/def/documents.php”.
“https://agidgov[.]com/login/def/video.php”.
L’intervento del CERT-AgID e raccomandazioni per gli utenti
Come in precedenti casi il CERT-AgID ha prontamente attivato le misure necessarie:
- Ha richiesto la disattivazione del dominio malevolo.
- Ha diffuso gli Indicatori di Compromissione (IoC) per allertare le strutture accreditate e contrastare la diffusione dell’attacco.
Gli utenti SPID sono invitati alla massima cautela. In particolare, si consiglia di non fidarsi di e-mail con toni allarmistici e richieste urgenti e di controllare con attenzione l’indirizzo e-mail del mittente e l’URL dei collegamenti.
In caso di dubbi, il CERT-AgiD, consiglia altresì di inoltrare le e-mail sospette a malware@cert-agid.gov.it per le dovute verifiche.
Una minaccia ricorrente
Non è la prima volta che SPID viene sfruttato in campagne di phishing. Negli anni passati si sono registrati finti portali SPID, false e-mail con loghi di provider accreditati e messaggi SMS (smishing) che imitavano notifiche di enti pubblici.
Tutte queste azioni mettono in evidenza l’attenzione costante che va riservata alla sicurezza delle identità digitali.
