Negli ultimi giorni il CERT‑AgID ha segnalato una campagna di phishing mirata agli utenti SPID. Per ingannare le vittime, i truffatori sfruttano indebitamente il nome, il logo e un dominio fraudolento (“it-spid[.]com”) assolutamente non riconducibile al Sistema Pubblico di Identità Digitale, come dimostra il seguente Whois Record.
Indice degli argomenti
Nuova truffa SPID: come funziona il raggiro
L’utente riceve un’e-mail allarmante con una richiesta di azione obbligatoria.
Nell’e-mail è presente un pulsante che porta tramite link alla pagina SPID fasulla “https://it-spid[.]com/def/login”.
Fonte: CERT-AgID.
La pagina, ben strutturata visivamente, chiederà ai malcapitati visitatori, con una serie di form in cascata, le credenziali SPID, le copie di documenti d’identità e persino dei video di riconoscimento.
In realtà, tutti questi dati eventualmente forniti non verranno recapitati a nessun Sistema Pubblico di Identità Digitale, ma piuttosto verranno inviati ai truffatori tramite script PHP malevoli (“documents.php”, “video.php”).
Fonte: CERT-AgID.
“Alla vittima viene anche richiesto di registrare un video sul momento, attivando la fotocamera e seguendo istruzioni specifiche per la procedura di riconoscimento, come: “Guarda verso la telecamera” o “Sorridere chiaramente”, spiega il CERT-AgID nel suo rapporto.
Fonte: CERT-AgID.
Come è evidente, lo scopo di questa campagna è sottrarre credenziali, documenti di riconoscimento e video per conferma biometrica perché possono servire per compiere furti d’identità o accedere fraudolentemente a servizi sensibili.
Truffe SPID: un fenomeno ricorrente
Non è la prima volta che lo SPID viene sfruttato in attacchi phishing e in passato sono emerse anche altre campagne simili sempre mirate al furto dell’identità digitale o a tema INPS che usavano una presunta omessa dichiarazione dei redditi come esca per attirare le vittime nella trappola.
Le recenti campagne di phishing a tema SPID hanno sfruttato domini ingannevoli come “agidgov[.]com”, “it-spid[.]com” e tattiche di ingegneria sociale sempre più sofisticate, incluso il video riconoscimento.
Sebbene Il CERT‑AgID abbia agito prontamente e reso pubblici gli IoC (Indicatori di Compromissione), è essenziale che gli utenti restino vigili e seguano le buone pratiche di sicurezza contro il phishing:
- accedere sempre attraverso il portale ufficiale SPID o il proprio gestore; evitare link propinati all’interno di e-mail;
- diffidare dei messaggi urgenti. Argomenti a tema “sospensione” o “azione obbligatoria” sono classiche tematiche del phishing;
- controllare attentamente mittente e contenuti: e-mail con errori, nomi di domino strani o layout non perfetti vanno ignorati;
- non condividere video che ritraggono il nostro volto: nessun gestore SPID richiede video di riconoscimento con queste modalità;
segnalare le truffe inviando le e-mail sospette a malware@cert-agid.gov.it.
