Gli esperti del CSIRT Italia hanno osservato le tracce di una campagna di phishing a tema INPS mirata ad aziende e professionisti e finalizzata al furto di dati personali e bancari.
Il messaggio malevolo è facilmente riconoscibile in quanto, nonostante la presenza del logo INPS, fa riferimento ad una notifica proveniente dall’Agenzia delle Entrate che comunica all’utente il mancato accredito di un rimborso fiscale di 200 euro, ovviamente inesistente ma allettante come esca.
Dalle analisi dei campioni di e-mail isolati finora è emerso che l’invio è stato eseguito da una casella di posta elettronica presumibilmente compromessa in un precedente attacco informatico.
Indice degli argomenti
I dettagli del phishing a tema INPS
L’e-mail, il cui oggetto è Numero della fattura : ADE /P881P254, è scritta in un italiano stentato e con una formattazione errata, il che dovrebbe già far scattare un campanello di allarme.
Il testo informa l’utente che il tentativo di effettuare il rimborso non è andato a buon fine, invitandolo quindi a cliccare sul link Aggiornare per accedere al “portale di rimborso delle tasse” e fornire nuove informazioni dell’account.
Chiaramente, l’URL nascosto nel link non rimanda al sito dell’Agenzia delle Entrate, ma al dominio inpsagenziarimbors.site44[.]com che a sua volta reindirizza la vittima ad un altro dominio agenziaentrategovit.lowhost.ru.
Su quest’ultimo sito è presente una pagina Web che richiama in tutto e per tutto la grafica e lo stile del sito INPS e sulla quale è presente un form da compilare per confermare i propri dati personali e bancari al fine di avviare la finta procedura di rimborso fiscale.
È inutile dire che le informazioni inserite non finiscono negli archivi dell’Agenzia delle Entrate ma direttamente nelle mani dei criminal hacker.
Dalle analisi effettuate dagli specialisti del CSIRT è venuto fuori che il codice OTP fornito viene poi inviato, come parametro “o8” e tramite richiesta POST, all’URL hXXp://agenziaentrategovit.lowhost[.]ru//gsh/jk/espaceit/snd1.php.
Gli stessi analisti del CSIRT fanno inoltre notare che le pagine predisposte per il phishing si trovano su domini fraudolenti, che non utilizzano il protocollo HTTPS e mirano a far credere al destinatario di interagire con siti legittimi utilizzando nomi di dominio solo in parte riconducibili a quello reale della PA mittente.
Come proteggersi da questa tipologia di attacco
Per mitigare il rischio di rimanere vittime di questo nuovo attacco phishing a tema INPS è importante seguire alcune regole di sicurezza informatica:
- innanzitutto, è importante verificare scrupolosamente il testo (formattazione ed ortografia) delle e-mail ricevute: nessun ente pubblico o banca o istituto finanziario invierebbe mai un messaggio scritto con un italiano stentato per una comunicazione ufficiale;
- in ambito aziendale, è poi fondamentale prevedere periodiche sessioni di formazione del personale finalizzate a riconoscere i tentativi di phishing e le campagne malspam;
- diffidare da comunicazioni non attese che invitano a dar seguito a link che fanno riferimento a risorse di dubbia legittimità;
- verificare che le pagine web si trovino su domini reali delle aziende e degli enti cui si riferiscono: per farlo, è sufficiente passare con il mouse sui link indicati (senza cliccarci sopra) e verificare nella barra contestuale del client di posta o del browser dove realmente punti l’URL nascosta;
- configurare i propri sistemi di protezione antispam/antimalware per segnalare le e-mail con contenuti potenzialmente dannosi.
Infine, il CSIRT Italia suggerisce di implementare gli IoC della campagna di phishing a tema INPS negli apparati di sicurezza utilizzati in azienda.
