Il CSIRT Italia ha rilevato una campagna di phishing, diffusa tramite SMS, che sfrutta impropriamente elementi grafici e testuali riconducibili a SEND – Servizio Notifiche Digitali e a pagoPA e mira a sottrarre dati personali e finanziari attraverso una falsa procedura di verifica e di pagamento relativa a una presunta sanzione stradale.
I messaggi, apparentemente inviati da un generico mittente “Comune”, invitano la vittima a verificare una presunta infrazione tramite un collegamento esterno. La procedura si articola in più fasi: inizialmente viene richiesta la verifica della targa del veicolo, seguita dalla visualizzazione di una falsa violazione contenente dettagli costruiti ad arte tra cui velocità rilevata, limite consentito, margine di tolleranza applicato, data dell’infrazione, importo della sanzione con riduzione per pagamento rapido e spese di notifica. In alcuni casi l’importo richiesto risulta contenuto, elemento utilizzato per ridurre le difese dell’utente e favorire il pagamento.
Successivamente, la vittima viene indirizzata a una pagina in cui vengono richiesti dati personali dell’intestatario del veicolo (nome, indirizzo, contatti), con finalità di raccolta informazioni per possibili ulteriori attività fraudolente. Infine, il flusso si conclude su una pagina di pagamento che simula un portale istituzionale e richiede l’inserimento dei dati della carta di pagamento.
L’intera catena è progettata per simulare un iter amministrativo credibile e indurre l’utente a fornire sia dati personali sia informazioni finanziarie, con il rischio di utilizzi illeciti delle informazioni raccolte.
Raccomandazioni
Gli utenti e le organizzazioni possono far fronte a questa tipologia di minaccia adottando, tra le altre, le seguenti misure di mitigazione:
- diffidare da SMS, e-mail o messaggi istantanei che richiedano il pagamento urgente di presunte sanzioni, multe o notifiche amministrative, soprattutto se accompagnati da scadenze ravvicinate o minacce di maggiorazioni;
- non accedere a collegamenti ricevuti tramite messaggi inattesi, anche qualora il mittente sembri riconducibile a un ente pubblico, a un Comune o a un servizio istituzionale;
- verificare sempre il dominio del sito prima di inserire dati personali o finanziari, prestando attenzione a eventuali domini simili a quelli ufficiali ma non riconducibili ai portali istituzionali;
- accedere ai servizi pubblici esclusivamente tramite i canali ufficiali, digitando manualmente l’indirizzo nel browser o utilizzando app e portali istituzionali riconosciuti;
- non inserire dati della carta di pagamento su pagine web la cui autenticità non sia stata verificata con certezza;
- in caso di inserimento dei dati su una risorsa sospetta, contattare tempestivamente il proprio istituto bancario o l’emittente della carta per valutare il blocco dello strumento di pagamento e monitorare eventuali operazioni non riconosciute;
Infine, il CSIRT Italia raccomanda di verificare e implementare, sui propri sistemi di sicurezza, gli eventuali Indicatori di Compromissione (IoC) associati alla campagna.
https://www.acn.gov.it/portale/en/w/campagna-di-phishing-a-tema-send-servizio-notifiche-digitali-
