Il CERT-AGID ha individuato una campagna di phishing, indirizzata agli utenti SPID, che utilizza indebitamente il nome e il logo di AgID.

Il messaggio di phishing è diffuso tramite email fraudolente che invitano l’utente ad aggiornare la propria documentazione e rimandano a un sito malevolo tramite link. L’obiettivo della campagna è sottrarre le credenziali SPID delle vittime insieme alle copie dei loro documenti di identità.

Alla vittima viene anche richiesto di registrare un video sul momento, attivando la fotocamera e seguendo istruzioni specifiche per la procedura di riconoscimento, come: “Guarda verso la telecamera” o “Sorridere chiaramente”.

Le pagine malevoli sono ospitate sul dominio it-spid[.]com, recentemente registrato e non riconducibile in nessun modo al Sistema Pubblico di Identità Digitale.

La campagna risulta molto simile per aspetto e scopo a una precedente campagna di phishing SPID, nonché alle frequenti campagne di phishing a tema INPS finalizzate ad acquisire con l’inganno copie di documenti di identità.

Azioni di contrasto

AgID ha richiesto la disattivazione del dominio malevolo al fine di prevenire ulteriori furti di dati. Gli Indicatori di Compromissione (IoC) relativi a questa campagna sono stati diramati attraverso il feed del CERT-AGID verso le strutture accreditate.

L’Agenzia raccomanda di prestare sempre la massima attenzione a questo tipo di comunicazioni, in particolare quando contengono collegamenti ritenuti sospetti. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli IoC rilevati:

Link: Download IoC