Il CERT-AGID ha rilevato una nuova variante di phishing ai danni di pagoPA che sfrutta un meccanismo di open redirect su domini legittimi di Google, con l’obiettivo di rendere i messaggi fraudolenti più credibili e aggirare i controlli automatici.
La campagna malevola, ancora una volta a tema “multe”, utilizza un link che a prima vista sembra appartenere a un servizio Google ma che in realtà reindirizza verso domini esterni controllati dagli attaccanti. Il sottodominio di Google (adservice.google.be), con cui inizia l’URL, viene impiegato come esca, sfruttando la reputazione del marchio per far apparire il collegamento sicuro. Da qui l’utente viene reindirizzato a una pagina intermedia ospitata su bio.site, piattaforma legittima utilizzata per creare pagine di presentazione simili a Linktree.
In questo caso, i criminali informatici hanno realizzato una pagina che riproduce il logo di pagoPA e un messaggio che fa riferimento a presunte infrazioni stradali non pagate, invitando l’utente a cliccare sul pulsante “Accedi al servizio di regolamento”. Una volta cliccato sul pulsante, l’utente viene reindirizzato verso la pagina di phishing vera e propria, che imita fedelmente il portale ufficiale di pagoPA e raccoglie i dati personali e quelli delle carte elettroniche di pagamento. La risorsa è ospitata su privatedns.org, un servizio legittimo che offre la registrazione gratuita di sottodomini, spesso sfruttato per attività malevole in quanto consente di creare indirizzi difficili da tracciare o bloccare.
Questo attacco non è del tutto nuovo: un caso analogo era stato documentato già nel 2023 dal sito web-inspection.de, che aveva segnalato lo stesso abuso dei domini Google. Tuttavia, nel caso attuale, non viene impiegato il cloaking vero e proprio: la pagina su bio.site non cambia i contenuti a seconda del visitatore, ma sfrutta un uso ingannevole di un servizio legittimo per guadagnare fiducia e bypassare i controlli di sicurezza.
Dal marzo 2025, quando è stata individuata la prima campagna di questo tipo, il CERT-AGID ha rilevato complessivamente 220 campagne di phishing riconducibili ad abusi del marchio pagoPA, anche grazie alle numerose segnalazioni degli utenti coinvolti.
Nel complesso, Il CERT-AgID ha prodotto e condiviso 2.574 Indicatori di Compromissione (IoC) con le amministrazioni e i soggetti accreditati, per supportare le attività di blocco tempestivo dei siti fraudolenti.
https://cert-agid.gov.it/news/phishing-contro-pagopa-abusa-di-open-redirect-google/
