Il CERT-AGID ha segnalato un preoccupante incremento delle campagne di phishing che sfruttano il tema PagoPA per colpire gli utenti italiani. Dalla fine di marzo ad oggi, sono state rilevate ben 45 campagne fraudolente, accompagnate da oltre 500 indicatori di compromissione (IoC) condivisi con le amministrazioni pubbliche e il team di sicurezza della piattaforma PagoPA.
Crescono gli attacchi, sempre più mirati agli utenti “mobile”
I truffatori digitali puntano in particolare agli utenti mobile, principalmente attraverso email contenenti falsi solleciti di pagamento relativi a presunte sanzioni stradale. L’obiettivo è indurre gli utenti a effettuare pagamenti non dovuti attraverso link ingannevoli.
Una delle costanti rilevate dalle campagne è rappresentata dalla capacità dei link di eseguire un reindirizzamento condizionato: il contenuto fraudolento viene mostrato solo se l’utente accede da un dispositivo mobile. In caso contrario, la pagina reindirizza al sito ufficiale di PagoPA, aumentando così la credibilità dell’attacco e sfuggendo ai controlli automatici.
In alcuni casi, i link eseguono anche un controllo basato sull’indirizzo IP, per escludere dalla visualizzazione dei contenuti fraudolenti alcuni soggetti o enti di sicurezza.
Due fasi per carpire dati sensibili
Una volta superati i filtri, la vittima viene indirizzata a una pagina web che riproduce i loghi ufficiali di PagoPA ed è strutturata in due fasi: nella prima viene richiesto l’inserimento di dati personali come nome, cognome, email e numero di telefono; nella seconda, invece, viene sollecitata la compilazione dei campi relativi alla carta di credito, sempre con il pretesto di estinguere una presunta sanzione.
Perché i cyber criminali hanno scelto il tema PagoPA?
Secondo il CERT-AGID, il tema PagoPA è particolarmente insidioso per la sua diffusione capillare e il forte legame con la pubblica amministrazione. La piattaforma è infatti ampiamente utilizzata per il pagamento di multe, tasse e altri servizi pubblici, rendendola un bersaglio ideale per i criminali informatici.
L’urgenza associata a queste comunicazioni ufficiali viene sfruttata per spingere gli utenti ad agire impulsivamente, senza verificare l’autenticità dei messaggi ricevuti. Inoltre, la consuetudine a ricevere notifiche digitali da enti pubblici via email o SMS rende più difficile distinguere le truffe dai messaggi reali.
Attraverso queste false pagine di pagamento, gli attaccanti non solo carpiscono dati personali, come nome, cognome, email e numero di telefono, ma anche informazioni finanziarie, tra cui i dati della carta di credito, ottenendo così sia strumenti per l’accesso a risorse economiche, sia elementi utili per futuri attacchi o frodi identitarie.
Le raccomandazioni del CERT-AGID
Il CERT-AGID invita gli utenti a prestare sempre di più massima attenzione a questo tipo di comunicazioni e ricorda che PagoPA ha pubblicato un avviso in cui suggerisce di verificare l’attendibilità dei messaggi ed eventualmente di accedere direttamente con SPID o CIE al sito dell’Ente di riferimento o al servizio ufficiale di PagoPA.
