Il CERT-AgID è stato informato di una campagna attiva mirata alle Pubbliche Amministrazioni, finalizzata al furto delle credenziali di accesso agli account di posta elettronica MS Outlook.

Gli aggressori, camuffandosi da dipartimenti HR o contabilità aziendali, stanno inviando email fraudolente che promettono aggiustamenti salariali o accessi a buste paga elettroniche, nel tentativo di sottrarre credenziali di accesso e altre informazioni sensibili.

✉️ Oggetto dell’email: Avviso di adeguamento delle buste paga di marzo

📎 Allegato: doppia estensione .pdf.html

Caratteristiche tipiche del phishing

Di seguito alcuni indizi che dovrebbero sollevare dubbi sulla possibile natura fraudolenta del messaggio:

➡️ Sollecito all’azione urgente
➡️ Allegati sospetti (doppia estensione)
➡️ Richiesta di inserire credenziali
➡️ Linguaggio generico
➡️ Errori grammaticali

Come si presenta l’allegato

L’email in questione sollecita i destinatari a scaricare l’allegato per visualizzare i dettagli riguardanti l’ “adeguamento salariale”. Questo è l’aspetto della pagina di phishing una volta aperto l’allegato:

Abuso di Form builder

L’impiego fraudolento di Form builder online per orchestrare campagne di phishing non è un fenomeno nuovo. In questa circostanza, è stato sfruttato il servizio gratuito fornito dal sito formester.com.

Indicatori di Compromissione

Al fine di supportare le misure di contrasto alla campagna fraudolenta, vengono di seguito riportati gli IoC rilevati, già condivisi con le Pubbliche Amministrazioni accreditate al Flusso IoC del CERT-AgID.

Link: Download IoC