IMPORTANTE

IoC 08/10/2021

CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)

Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti: Essere una Pubblica Amministrazione; Accreditarsi presso il CERT-AGID; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID. Mentre i primi due requisiti resteranno invariati in quanto […]

Attività di phishing su SPID di Poste Italiane attualmente in corso

05/11/2020

poste SPID

Volendo sfruttare l’ondata del click day per il bonus mobilità che prevedeva l’uso di un account SPID e delle conseguenti problematiche riscontrate nel corso del click day con alcuni provider SPID, dei malfattori hanno ben pensato di mettere in uso un dominio malevolo appositamente registrato in data 06/10/2020 e denominato aggiornamento-spid[.]com

Grazie alla collaborazione con D3Lab che ha subito segnalato il nome del dominio sospetto quando ancora non presentava contenuti, è stato attivato il monitoraggio per rilevare gli eventuali cambiamenti. Il risultato:

  • ore 12:30 circa il server ha iniziato a rispondere con un errore 404
  • ore 12:40 si è presentata la pagina di cortesia di una istanza nginx

Solo visitando il dominio da dispositivi mobile o da browser con user agent mobile è possibile osservare la pagina fake di phishing che emula i contenuti della pagina di login di Poste Italiane.

Da ciò si deduce che le vittime designate sono utenti mobili di Poste e che con buona probabilità la campagna di phishing, della quale al momento non abbiamo evidenza, verrà veicolata via SMS e non via email.

Il CERT-AGID ha già provveduto a segnalare il dominio malevolo tra gli IoC a tutela delle sue strutture accreditate e ad allertare tutti i comparti di interesse.

Taggato  poste SPID