Nuovo bollettino del CSIRT Italia sul phishing, con campagne di “media criticità” che riproducono sistemi di notifiche.

Nuovo allarme del CSIRT Italia sul phishing, con il recente rilevamento di una campagna veicolata tramite SMS a tema “SEND – Servizio Notifiche Digitali” e a pagoPA. L’obiettivo è quello di indurre potenziali vittime ad avviare una procedura di verifica e, successivamente, un pagamento online.

La campagna sfrutta impropriamente riferimenti grafici e testuali riconducibili alle note piattaforme. In questo modo si rende la richiesta credibile, proprio per spingere l’utente a effettuare il pagamento di una falsa sanzione.

Con il nome di un generico “Comune” in qualità di mittente, la campagna simula una procedura amministrativa di consultazione e pagamento di una presunta sanzione stradale. Partendo dalla targa dei veicolo si truffa così l’utente.

La struttura della truffa

La pagina iniziale malevola risulta “graficamente costruita” per richiamare un servizio istituzionale collegato a SEND – Servizio Notifiche Digitali e a pagoPA. L’utente riceve la richiesta “di inserire il numero di targa del veicolo per verificare l’eventuale presenza di obblighi di pagamento non saldati“. In particolare per verbali, sanzioni amministrative o accordi emessi dalla Polizia stradale.

A seguito dell’inserimento della targa, si legge nell’avviso, l’utente si ritrova su una pagina che spiega nel dettaglio la violazione del Codice della Strada e l’importo da pagare relativo.

La procedura prosegue con una pagina dedicata ai dati dell’intestatario del veicolo, nella quale si richiedono informazioni personali. Vale a dire nome e cognome, indirizzo, comune, provincia, CAP, numero di telefono e indirizzo e-mail.

Gli attori malevoli riescono così a raccogliere dati anagrafici e di contatto potenzialmente utilizzabili per successive attività fraudolente, campagne di phishing mirate o tentativi di furto d’identità.

Successivamente, la vittima viene indirizzata verso una pagina di pagamento che riproduce un’interfaccia apparentemente istituzionale e riporta il logo SEND e riferimenti grafici a pagoPA. In questa fase vengono richiesti dati sensibili della carta di pagamento.

L’inserimento di tali informazioni può comportare la compromissione del sistema di pagamento utilizzato. Da qui, la possibile esecuzione di transazioni non autorizzate o riutilizzo dei dati su ulteriori circuiti fraudolenti.

Azioni di mitigazione

Gli utenti e le organizzazioni, sottolinea l’avviso, possono far fronte a questa tipologia di minaccia adottando, tra le altre, alcune misure di mitigazione. Tra queste:

• diffidare da SMS, e-mail o messaggi istantanei che richiedano il pagamento urgente di presunte sanzioni, multe o notifiche amministrative. Soprattutto se accompagnati da scadenze ravvicinate o minacce di maggiorazioni.
• Non accedere a collegamenti ricevuti tramite messaggi inattesi, anche qualora il mittente sembri riconducibile a un ente pubblico, a un Comune o a un servizio istituzionale.
• Verificare sempre il dominio del sito prima di inserire dati personali o finanziari, prestando attenzione a eventuali domini simili a quelli ufficiali ma non riconducibili ai portali istituzionali.
• Accedere ai servizi pubblici esclusivamente tramite i canali ufficiali, digitando manualmente l’indirizzo nel browser o utilizzando app e portali istituzionali riconosciuti.
• Non inserire dati della carta di pagamento su pagine web la cui autenticità non sia stata verificata con certezza.
• in caso di inserimento dei dati su una risorsa sospetta, contattare tempestivamente il proprio istituto bancario o l’emittente della carta. Si può così chiedere di valutare il blocco dello strumento di pagamento e monitorare eventuali operazioni non riconosciute.

Infine, l’altra raccomandazione è quella di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC).

Vai al sito di Cybersecurity Italia.

L'articolo Phishing, nuove campagne a tema “SEND – Servizio Notifiche Digitali”, l’allarme del CSIRT Italia. Come proteggersi sembra essere il primo su CyberSecurity Italia.