Il CERT-AGID ha individuato una nuova ondata di smishing che sfrutta il nome dell’INPS per diffondere SMS su presunti “sussidi carburante”. A differenza delle precedenti campagne a tema bonus o agevolazioni economiche, questa nuova offensiva sembra essere chiaramente finalizzata al furto dei dati della carta di credito, con il probabile obiettivo di effettuare addebiti non autorizzati.
L’SMS si presenta come una comunicazione ufficiale dell’INPS e informa il destinatario della possibilità di ottenere un presunto contributo economico di 300 euro, definito come “schema di compensazione per l’aumento dei prezzi del carburante”.
Il messaggio invita a cliccare su un link esterno per avviare la procedura di richiesta. Per aumentare il senso di urgenza, viene indicata una scadenza ravvicinata. Dopo aver cliccato sul link, la vittima viene reindirizzata a una pagina web progettata per imitare il portale mobile dell’’NPS. Il sito è visibile principalmente da smartphone e riproduce loghi, colori e struttura grafica dell’ente, rendendo l’inganno più credibile.
In una fase successiva viene richiesto l’inserimento di dati personali come nome, indirizzo, città, CAP e numero di telefono, con l’obiettivo di costruire un profilo dettagliato della vittima e consolidare la percezione di una procedura ufficiale. Successivamente la truffa prosegue con una fase in cui viene confermata la presunta idoneità al sussidio, rafforzando ulteriormente l’illusione di legittimità.
Nella fase finale viene invece richiesto l’inserimento completo dei dati della carta di credito, inclusi numero, data di scadenza e CVV, attraverso una schermata che simula un “accredito rapido su carta”. Questo passaggio rappresenta il punto critico dell’attacco, poiché consente agli aggressori di utilizzare immediatamente le informazioni per transazioni fraudolente.
L’analisi tecnica del CERT-AGID evidenzia possibili collegamenti con il Phishing-as-a-Service “Darcula”, con script JavaScript offuscati e poi deoffuscati, oltre a riferimenti all’ecosistema della piattaforma. I dati rubati vengono inoltre trasmessi con tecniche di cifratura basate su password e salt e successiva codifica Base64, indicando una maggiore sofisticazione rispetto al phishing tradizionale.
Il CERT-AGID ha informato il reparto di sicurezza informatica di INPS, ha richiesto la dismissione dei domini malevoli ai registrar e ha diramato gli indicatori di compromissione alle organizzazioni accreditate al flusso IoC.
https://cert-agid.gov.it/news/smishing-a-tema-inps-falso-bonus-carburante/
