Una nuova campagna di phishing sta colpendo la Pubblica Amministrazione sfruttando caselle email istituzionali compromesse per inviare messaggi fraudolenti a destinatari, sempre nel perimetro della PA. A rilevarla è il CERT-AGID, che segnala come gli attaccanti utilizzino account reali con i quali il mittente aveva già intrattenuto comunicazioni legittime, aumentando così la credibilità delle email.
I messaggi risultano inviati dalla casella compromessa verso sé stessa, mentre le vittime sono inserite in copia nascosta (CCN). Nel testo e negli allegati PDF — che simulano documenti amministrativi come fatture o presentazioni — è presente un link che rimanda a una risorsa malevola ospitata su Figma, piattaforma legittima usata in contesti professionali per la collaborazione online di contenuti digitali.
La pagina su Figma è personalizzata con nome e logo dell’ente coinvolto (brand spoofing) e contiene un ulteriore collegamento che porta a una falsa pagina di login Microsoft 365, progettata per sottrarre le credenziali di accesso.
Perché questa variante è rilevante
Rispetto alla campagna precedentemente osservata, questa variante punta maggiormente alla costruzione di un contesto visivo coerente con l’identità dell’ente, aumentando la probabilità che l’utente completi il tentativo di autenticazione.
L’adozione di una falsa pagina Microsoft punta, inoltre, a colpire direttamente un asset estremamente critico per la PA: le credenziali di accesso ai servizi cloud e alla posta istituzionale. Una volta sottratte, queste possono essere riutilizzate per ulteriori compromissioni, movimenti laterali all’interno delle reti e nuove campagne di phishing “a catena” partendo da account ufficiali.
Il CERT-AGID ha notificato le amministrazioni coinvolte e condiviso gli Indicatori di Compromissione (IoC) per supportare le attività di difesa e contenimento.
