A brevissima distanza dall’ultima campagna di phishing a tema SPID rilevata, è stata individuata dal CERT-AGID una nuova minaccia rivolta agli utenti del servizio.

La campagna di phishing è diffusa tramite email fraudolente con oggetto “Suo certificato digitale è stato appena rinnovato.” che invitano a scaricare un presunto nuovo certificato digitale, necessario per accedere ai servizi SPID. Il link presente nel corpo dell’email rimanda a una finta pagina di login SPID, dove viene chiesto di inserire le proprie credenziali di accesso.

Le comunicazioni, indirizzate a caselle di posta di aziende, del tipo info@example.it, sono apparentemente provenienti dall’indirizzo noreply@spid.gov.it. Tuttavia, da un’analisi approfondita è emerso queste email sono inviate da server di terze parti e non presentano alcuna firma DKIM, e di conseguenza dovrebbero essere rifiutate dai server di posta riceventi. Oltre alla mancanza di verifica della firma, le email in questione possono essere recapitate solo se il server destinatario non esegue correttamente l’autenticazione SPF.

Azioni di contrasto

AgID ha richiesto, al fine di prevenire ulteriori furti di dati, la disattivazione del dominio ospitante la pagine di phishing e la disattivazione del servizio di hosting. Gli Indicatori di Compromissione (IoC) relativi a questa campagna sono stati diramati attraverso il feed del CERT-AGID verso le strutture accreditate.

L’Agenzia raccomanda di prestare sempre la massima attenzione a questo tipo di comunicazioni, in particolare quando contengono collegamenti ritenuti sospetti. Nel dubbio, è sempre possibile inoltrare le email ritenute sospette alla casella di posta malware@cert-agid.gov.it

Si raccomanda inoltre a tutti coloro i quali utilizzano una propria infrastruttura di posta elettronica di implementare i sistemi di verifica e autenticazione delle comunicazioni in arrivo SPF, DMARC e DKIM al fine di prevenire lo spoofing.

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli IoC rilevati:

Link: Download IoC