È in corso una campagna di phishing, rivolta indistintamente a imprese private e pubbliche amministrazioni, che sfrutta loghi e finte comunicazioni di Agenzia delle Entrate e Riscossione.

L’e-mail, con oggetto “Avviso Raccomandata“, invita la vittima a seguire il link proposto nel corpo del messaggio per prendere atto di una notifica.

Il collegamento non punta al dominio reale di Agenzia delle Entrate ma ad un dominio differente che a sua volta reindirizza verso un secondo dominio, di recente registrazione, che si occupa di verificare l’indirizzo IP della vittima e scegliere se indirizzarla alla pagina di phishing su un dominio creato ad-hoc con tecnica di typosquatting, anch’esso di recente registrazione, oppure sul sito reale di Agenzia delle Entrate.

Sia il dominio utilizzato per verificare le informazioni di provenienza della vittima, sia il dominio finale di phishing, il cui nome è simile a quello reale ma mancante di una “i”, risultano registrati nella giornata di ieri (12/11/2023) e localizzati in Russia.

Lo scopo della campagna è quello di sottrarre le credenziali delle vittime utilizzate per accedere ai servizi di Agenzia delle Entrate. Non è infatti disponibile la possibilità di usufruire dell’accesso tramite SPID, CIE o CNS.

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli indicatori rilevati, già diramati alle pubbliche amministrazioni accreditate al Flusso IoC del CERT-AGID:

Link: Download IoC