Il CERT-AGID ha emesso un avviso riguardante una campagna di phishing scoperta nella giornata di ieri, mirata a ottenere indebitamente le credenziali di accesso a caselle di Posta Elettronica Certificata (PEC). La truffa inizia con l’invio di un’email ingannevole agli utenti delle caselle PEC, affermando una presunta richiesta di disattivazione dell’account da completarsi entro 24 ore e suggerendo di cliccare su un link fornito nel corpo del messaggio nel caso si ritenga un presunto errore.
Gli utenti che interagiscono col link vengono indirizzati a una pagina fraudolenta, creata sfruttando impropriamente il servizio “Renderforest Website Builder”. Qui si presenta loro una scelta tra due gestori di servizi di posta elettronica certificata, Legalmail (di Infocert) o Aruba. Indipendentemente dalla selezione effettuata, l’utente viene successivamente reindirizzato a un’altra pagina ospitata su “Glitch”, un servizio già sfruttato precedentemente in modo simile per altri fini illeciti.
Nella pagina successiva, l’opzione del fornitore di servizi viene presentata nuovamente, ma con un design grafico differente. In questa fase, agli utenti viene mostrato un popup che sollecita l’inserimento delle proprie credenziali di accesso.
Il punto cruciale è che le credenziali inserite non servono per l’accesso legittimo al servizio, ma vengono invece inviate a un bot Telegram, secondo quanto rivelato dall’analisi del codice sorgente della pagina malevola, facendole così pervenire agli autori della truffa.
L’utilizzo dei bot Telegram come piattaforma di comando e controllo (C2) sta emergendo come una tendenza significativa nell’ambito delle truffe online. Questa evoluzione si spiega con l’anonimato e l’uso della privacy garantiti da Telegram, la sua facilità di uso, la sua versatilità e la sua capacità di automatizzare compiti complessi con minimo sforzo e costi. Inoltre, la difficoltà di tracciare e rilevare il traffico malevolo su Telegram lo rende particolarmente attraente per i criminali.
Per contrastare questa campagna di phishing, il CERT-AGID ha condiviso gli Indicatori di Compromissione (IoC) rilevati con le Pubbliche Amministrazioni accreditate al Flusso IoC del CERT-AgID. Per ulteriori dettagli e informazioni su come proteggersi da questa minaccia, si può consultare il link all’avviso completo del CERT-AGID.
https://cert-agid.gov.it/news/campagna-di-phishing-pec-credenziali-inoltrate-ad-un-bot-telegram/
