Phishing a tema INPS, attenti al falso rimborso fiscale: la nuova truffa per rubare dati - Cyber Security 360

L'ANALISI TECNICA

Phishing a tema INPS, attenti al falso rimborso fiscale: la nuova truffa per rubare dati

È stata identificata una campagna di phishing che sfrutta finte e-mail dell’INPS riferite ad un presunto rimborso fiscale per indurre le vittime a fornire dati personali e bancari. Ecco tutti i dettagli e i consigli per difendersi

25 Feb 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Gli esperti del CSIRT Italia hanno osservato le tracce di una campagna di phishing a tema INPS mirata ad aziende e professionisti e finalizzata al furto di dati personali e bancari.

Il messaggio malevolo è facilmente riconoscibile in quanto, nonostante la presenza del logo INPS, fa riferimento ad una notifica proveniente dall’Agenzia delle Entrate che comunica all’utente il mancato accredito di un rimborso fiscale di 200 euro, ovviamente inesistente ma allettante come esca.

Dalle analisi dei campioni di e-mail isolati finora è emerso che l’invio è stato eseguito da una casella di posta elettronica presumibilmente compromessa in un precedente attacco informatico.

I dettagli del phishing a tema INPS

L’e-mail, il cui oggetto è Numero della fattura : ADE /P881P254, è scritta in un italiano stentato e con una formattazione errata, il che dovrebbe già far scattare un campanello di allarme.

WHITEPAPER
Iot Security e IIOT Security: un approccio olistico alla sicurezza nell'Industry 4.0
IoT
Sicurezza

Il testo informa l’utente che il tentativo di effettuare il rimborso non è andato a buon fine, invitandolo quindi a cliccare sul link Aggiornare per accedere al “portale di rimborso delle tasse” e fornire nuove informazioni dell’account.

Chiaramente, l’URL nascosto nel link non rimanda al sito dell’Agenzia delle Entrate, ma al dominio inpsagenziarimbors.site44[.]com che a sua volta reindirizza la vittima ad un altro dominio agenziaentrategovit.lowhost.ru.

Su quest’ultimo sito è presente una pagina Web che richiama in tutto e per tutto la grafica e lo stile del sito INPS e sulla quale è presente un form da compilare per confermare i propri dati personali e bancari al fine di avviare la finta procedura di rimborso fiscale.

È inutile dire che le informazioni inserite non finiscono negli archivi dell’Agenzia delle Entrate ma direttamente nelle mani dei criminal hacker.

Compilando il form e proseguendo con la procedura indicata, la vittima viene rimandata su una seconda pagina malevola predisposta per l’inserimento dei codici di verifica inviati via SMS al numero di telefono indicato precedentemente.

Dalle analisi effettuate dagli specialisti del CSIRT è venuto fuori che il codice OTP fornito viene poi inviato, come parametro “o8” e tramite richiesta POST, all’URL hXXp://agenziaentrategovit.lowhost[.]ru//gsh/jk/espaceit/snd1.php.

Gli stessi analisti del CSIRT fanno inoltre notare che le pagine predisposte per il phishing si trovano su domini fraudolenti, che non utilizzano il protocollo HTTPS e mirano a far credere al destinatario di interagire con siti legittimi utilizzando nomi di dominio solo in parte riconducibili a quello reale della PA mittente.

Come proteggersi da questa tipologia di attacco

Per mitigare il rischio di rimanere vittime di questo nuovo attacco phishing a tema INPS è importante seguire alcune regole di sicurezza informatica:

  • innanzitutto, è importante verificare scrupolosamente il testo (formattazione ed ortografia) delle e-mail ricevute: nessun ente pubblico o banca o istituto finanziario invierebbe mai un messaggio scritto con un italiano stentato per una comunicazione ufficiale;
  • in ambito aziendale, è poi fondamentale prevedere periodiche sessioni di formazione del personale finalizzate a riconoscere i tentativi di phishing e le campagne malspam;
  • diffidare da comunicazioni non attese che invitano a dar seguito a link che fanno riferimento a risorse di dubbia legittimità;
  • verificare che le pagine web si trovino su domini reali delle aziende e degli enti cui si riferiscono: per farlo, è sufficiente passare con il mouse sui link indicati (senza cliccarci sopra) e verificare nella barra contestuale del client di posta o del browser dove realmente punti l’URL nascosta;
  • configurare i propri sistemi di protezione antispam/antimalware per segnalare le e-mail con contenuti potenzialmente dannosi.

Infine, il CSIRT Italia suggerisce di implementare gli IoC della campagna di phishing a tema INPS negli apparati di sicurezza utilizzati in azienda.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4