Un attacco di phishing mirato ha cercato di colpire gli utenti di oltre dieci istituti bancari italiani, fra cui BNP, Credem, Fineco, ING, InBank, Intesa, Mediobanca, Mediolanum, Poste, Sella, Unicredit. I cyber criminali hanno usato come esca lo SPID, o meglio, una sua imitazione di alto livello che, secondo quanto pubblicato da CERT-AGID, avrebbe potuto confondere anche gli utenti più attenti. L’obiettivo era portare le potenziali vittime a fornire ai cyber criminali le proprie credenziali bancarie, con le quali poi operare frodi finanziarie facili da intuire.

L’attacco è stato scoperto quando è stato individuato un dominio registrato appositamente per questa truffa, con una somiglianza notevole rispetto all’originale. Il link era verosimilmente incluso in una email, che invitava gli utenti a inserire le proprie credenziali bancarie come passaggio necessario per completare la verifica della propria identità con il del Sistema Pubblico di Identità Digitale (SPID). In questa pagina pubblichiamo una immagine pubblicata da CERT-AGID che fa comprendere l’accuratezza sia della pagina che dell’URL a cui venivano collegati gli utenti.

L’intercettazione dei messaggi di phishing ha permesso di diffondere tempestivamente gli Indicatori di Compromissione alle strutture pubbliche accreditate ed ai gestori SPID in modo da tutelare le potenziali vittime. Contestualmente, CERT-AGID ha richiesto la disattivazione del dominio canaglia.

È bene ricordare agli utenti le regole di base che devono sempre essere applicate per non abboccare a campagne come quella descritta: diffidare dei messaggi di posta elettronica non richiesti, evitare di cliccare sui link ivi contenuti. Se richiesto l’inserimento di credenziali, chiudere la pagina web e aprirne una nuova digitando manualmente l’URL così da aggirare eventuali domini canaglia. Ultimo, la verifica dell’identità SPID non ha mai previsto l’inserimento di credenziali bancarie: qualsiasi richiesta fuori dall’ordinario deve far scattare l’allarme e spingere l’utente a fermarsi.