Il CERT-AGID ha rilevato di recente diverse campagne attive che sfruttano in modo fraudolento il nome, il logo e la grafica dell’Agenzia delle Entrate, con l’obiettivo di sottrarre informazioni finanziarie e patrimoniali agli utenti. Il tema comune è la presunta obbligatorietà di una dichiarazione di cripto-asset digitali, talvolta accompagnata da richiami a scadenze imminenti per indurre urgenza nella vittima. Tra queste campagne, una individuata in data odierna presenta una caratteristica tecnica particolarmente rilevante: il flusso di attacco combina tecniche di phishing e vishing, adattandosi dinamicamente alle risposte fornite dalla vittima.

Il termine vishing (contrazione di voice phishing) indica una tecnica di frode in cui l’attaccante induce la vittima, tramite una comunicazione vocale, a rivelare dati sensibili, codici di sicurezza o a effettuare pagamenti.

Descrizione del flusso di attacco

La campagna odierna conduce la vittima su un sito che imita il portale istituzionale dell’Agenzia delle Entrate. In una prima fase, la vittima viene invitata a inserire il proprio codice fiscale e numero di telefono cellulare tramite un modulo che richiama i sistemi di autenticazione dell’Agenzia.

Successivamente, l’utente accede a un modulo di dichiarazione adattivo in cui compare un codice fiscale inserito e uno stato “In attesa di verifica patrimoniale“, a simulare una pratica già aperta a suo carico.

Il modulo chiede quindi se la vittima utilizzi wallet o exchange di criptovalute. A seconda della risposta, il flusso si biforca:

• se risponde Sì, vengono richiesti il wallet/exchange utilizzato, la data dell’ultimo deposito e il valore stimato del patrimonio in criptovalute;
• se risponde No, vengono richiesti il nome dell’istituto bancario (es. Intesa Sanpaolo, Unicredit) e l’ultimo saldo del conto corrente in euro.

Dopo l’invio, la vittima visualizza una schermata che simula un errore di sincronizzazione, con la motivazione che i dati forniti risulterebbero incongruenti con l’anagrafe tributaria. La pagina avverte del rischio di “emissione automatica di un avviso di accertamento” e di “blocco cautelativo degli asset“, e invita la vittima a chiamare un numero presentato come “Ufficio Verifiche di Milano“. È in questo momento che il phishing si trasforma in vishing: la vittima, già in stato di allerta, viene spinta a contattare telefonicamente l’attore malevolo per completare la truffa.

Caratteristiche tecniche distintive e azioni intraprese

La campagna si distingue per l’adattività del flusso: il modulo modifica dinamicamente i campi richiesti in base al profilo finanziario dichiarato dalla vittima, massimizzando la raccolta di dati sensibili sia in ambito crypto che bancario tradizionale. L’escalation verso il vishing tramite una schermata di “errore tecnico” con numero di telefono rappresenta un elemento di evoluzione tattica rispetto alle campagne phishing classiche sul medesimo tema.

È stata richiesta la dismissione dei domini malevoli ai relativi registrar. L’Agenzia delle Entrate è stata informata della problematica. Gli Indicatori di Compromissione (IoC) sono stati condivisi con gli enti accreditati al feed del CERT-AGID.

Al fine di rendere pubblici i dettagli di queste campagne si riportano di seguito gli indicatori di compromissione rilevati:

Link: Download IoC