Il CERT-AGID ha emesso un avviso relativo a una serie di campagne di phishing in corso mirate al furto di documenti di identità sfruttando come esca il tema dell’Assegno Unico INPS.

A partire dalla metà del mese di luglio 2022, gli esperti del CERT-AGID, grazie anche alla stretta collaborazione con INPS, hanno individuato una serie di domini che sono utilizzati per mettere in atto queste campagne. Questi domini sono stati censiti e condivisi attraverso le piattaforme IoC del CERT-AGID.

Le suddette campagne sono veicolate sia tramite SMS che tramite Email e il contenuto del messaggio riguarda sempre “L’erogazione dell’Assegno Unico”. In molti casi, soprattutto se la campagna è veicolata tramite SMS, non viene esposta la url reale ma viene fatto abuso degli shorten url.

Gli esperti spiegano che le pagine sono accessibili solo tramite dispositivi mobile. Nel caso in cui la url viene visitata attraverso un browser desktop si viene ridiretti alla home page di Google.

Il nome del dominio contiene sempre la parola lNPS, scritta con la lettera “L” minuscola anziché con la “I”.

Tutti i domini individuati sono registrati su Namecheap ed utilizzano il tld “.info”. I contenuti non sono accessibili digitando direttamente il nome dominio in quanto sono ospitati in un sottodominio. Quelli sinora osservati sono: my, usr o id.

Le pagine di phishing sono un clone di quelle INPS realizzato con strumenti automatici, tant’è che alcuni dei collegamenti presenti continuano a rimandare al portale dell’Ente.

L’obiettivo dei criminali informatici dietro queste campagne è quello di collezionare documenti di identità di utenti italiani. Nello specifico, i documenti richiesti attraverso le pagine di phishing al fine di “ottenere” l’Assegno Unico sono i seguenti: Nome e Cognome; Carta Identità; Tessera sanitaria; Patente guida.

Secondo alcuni elementi, gli esperti attribuiscono le stesse ad attori italiani. Alcuni componenti utilizzati sono gli stessi di quelli usati nelle campagne italiane di phishing bancario, ma è possibile che il riuso in questione sia solo una coincidenza. Il nome di alcune pagine è italiano (es: terza_s.php).

Gli esperti spiegano che queste campagne rappresentano un elemento di novità rispetto al noto fenomeno delle truffe bancarie in cui sono soliti cimentarsi gli attori connazionali: se infatti nel phishing bancario l’obiettivo è l’accesso ai conti correnti e per la cui riuscita è necessaria la presenza di un operatore online, in questo caso i criminali mirano alla raccolta di documenti utili al furto di identità e non sono necessari operatori umani.

“Le ipotesi sulla finalità di tali furti sono molte, è difficile ottenere informazioni di sorta: si spazia dallo scambio di persona, ad esempio per l’incasso di assegni di previdenza, apposizione di firme, intestazione di società, al più ampio uso di tecniche di ingegneria sociale.

Si delinea quindi un nuovo filone della ciber-criminalità italiana mirato al furto di identità, un fenomeno, se si vuole, più pericoloso del complementare bancario in quanto i danni derivanti non si limitano al campo finanziario della vittima. Non è possibile escludere, né confermare, l’associazione con il crimine organizzato”, conclude il CERT-AGID.

https://cert-agid.gov.it/news/in-corso-campagne-di-phishing-a-tema-assegno-unico-inps/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE