Il CERT-AGID ha avuto evidenza di una recente campagna di phishing mirata all’Università degli Studi di Padova, nella quale attori malevoli hanno sottratto credenziali (email e password in chiaro) di studenti e dipendenti dell’Ateneo attraverso l’utilizzo di due diversi domini fraudolenti.

Dettagli della campagna

I domini malevoli ospitavano pagine di login contraffatte che riproducevano fedelmente l’aspetto del portale ufficiale dell’Ateneo, inducendo gli utenti a inserire le proprie credenziali.

La campagna ha coinvolto quasi 200 account, le cui credenziali sono state esposte a seguito dell’attacco.

Azioni intraprese

L’Università di Padova è stata prontamente informata dell’accaduto e le pagine malevole sono state disattivate per impedire ulteriori compromissioni.

Gli Indicatori di Compromissione (IoC) sono stati diramati verso tutte le Pubbliche Amministrazioni accreditate al feed del CERT-AGID.

Pericolosità del phishing mirato

Il phishing mirato è una tecnica di attacco che si differenzia dal phishing generico perché colpisce specifiche organizzazioni o categorie di utenti, aumentando l’efficacia dell’inganno. Gli attori malevoli studiano le loro vittime e creano pagine web e comunicazioni fraudolente altamente credibili, rendendo più probabile che gli utenti inseriscano inconsapevolmente le proprie credenziali.

• Compromettono dati sensibili: le credenziali rubate possono essere utilizzate per accedere a servizi interni o violare infrastrutture IT.
• Favoriscono attacchi successivi: una volta ottenuto l’accesso a un account, i criminali possono utilizzarlo per lanciare attacchi più sofisticati, come la diffusione di malware o il furto di informazioni riservate.

Raccomandazioni

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

• Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni che richiedono l’inserimento di dati personali tramite link.
• Controllare di trovarsi sul sito ufficiale dell’ente, verificando attentamente l’indirizzo URL nel browser e assicurandosi che il dominio visualizzato nella barra degli indirizzi coincida con quello ufficiale dell’organizzazione.
• Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC