Il CERT-AGID ha avuto evidenza di una campagna di smishing attiva su due differenti domini che sfrutta il logo e il nome di INPS per indurre le vittime a fornire dati personali e finanziari.

Da tempo, il CERT-AGID osserva questo fenomeno, che persiste in Italia da circa due anni e si manifesta attraverso SMS fraudolenti che sembrano ufficiali. In questi messaggi, gli utenti vengono invitati a seguire un link per aggiornare le proprie informazioni, con la minaccia di una sospensione dell’utenza. Un esempio di tali messaggi è il seguente:

“Il tuo profilo INPS va aggiornato perché scaduto, rinnova i dati per evitare la sospensione da INPS“

Dati personali sottratti

Cliccando sul link, gli utenti vengono reindirizzati a un sito web falso, progettato per apparire quasi identico al portale ufficiale di INPS. All’interno della pagina fraudolenta vengono richiesti:

• carta d’identità (fronte e retro);
• tessera sanitaria (fronte e retro);
• patente di guida (fronte e retro);
• selfie con carta d’identità e patente di guida.

Alla conclusione del processo, gli utenti vengono ingannati da un messaggio che segnala un presunto errore di identificazione, richiedendo nuovamente il caricamento della carta d’identità e dei selfie.

Utilizzo dei dati sottratti

I dati raccolti vengono utilizzati per compiere diverse attività fraudolente. Uno degli scopi principali è la registrazione di un’identità SPID a nome della vittima, un’operazione che, però, può andare a buon fine solo se non vengono effettuate correttamente le dovute verifiche. Una volta ottenuto il controllo di una nuova identità SPID, i criminali possono accedere ai servizi pubblici ed effettuare operazioni come la modifica dell’IBAN associato ai servizi di pagamento, spostando così l’accreditamento dello stipendio o delle pensioni verso conti correnti a loro disposizione. Inoltre, i documenti sottratti possono essere venduti nel dark web, utilizzati per creare identità false o per perpetrare ulteriori frodi.

Raccomandazioni

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sul sito ufficiale dell’ente, verificando attentamente l’indirizzo URL nel browser e assicurandosi che il dominio visualizzato nella barra degli indirizzi coincida con quello ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it

In merito a questo fenomeno, l’INPS ha più volte affrontato l’argomento attraverso apposite pubblicazioni per sensibilizzare gli utenti sull’importanza di essere vigili e di non cedere dati personali.

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC