A partire dalla metà del mese di luglio 2022, grazie anche alla stretta collaborazione con INPS, il CERT-AgID ha individuato una serie di domini che, sfruttando il tema dell’Assegno Unico INPS, sono utilizzati per mettere in atto campagne di phishing mirate al furto di documenti di identità.

I domini sono stati censiti e condivisi attraverso le nostre piattaforme IoC.

Si è avuta evidenza di campagne veicolate sia tramite SMS che tramite Email. Il contenuto del messaggio riguarda sempre “L’erogazione dell’Assegno Unico“.

In molti casi, soprattutto se la campagna è veicolata tramite SMS, non viene esposta la url reale ma viene fatto abuso degli shorten url.

Cosa hanno in comune queste campagne?

Le pagine sono accessibili solo tramite dispositivi mobile. Nel caso in cui la url viene visitata attraverso un browser desktop si viene ridiretti alla home page di Google.

Il nome del dominio contiene sempre il termine lnps, scritto con la lettera “L” minuscola al posto della “I” (tutto in maiuscolo sarebbe LNPS anzichè INPS).

Tutti i domini individuati sono registrati su Namecheap ed utilizzano il tld “.info“.

I contenuti non sono accessibili digitando direttamente il nome dominio perchè sono ospitati in un sottodominio. Quelli sinora osservati sono: my, usr o id.

La pagine di phishing sono un clone di quelle INPS fatto con strumenti automatici, tant’è che alcuni dei collegamenti presenti continuano a rimandare al portale dell’Ente.

Quali informazioni vengono rubate?

L’intento dei criminali dietro queste campagne è quello di collezionare documenti di identità di utenti italiani. Nello specifico, i documenti richiesti attraverso le pagine di phishing al fine di “ottenere” l’Assegno Unico sono i seguenti:

1. Nome e Cognome
2. Carta Identità
3. Tessera sanitaria
4. Patente guida

Criminologia

Ci sono elementi che fanno propendere per l’attribuzione ad attori italiani. Alcuni componenti usati in queste campagne sono gli stessi utilizzati nelle campagne italiane di phishing bancario, ma è possibile che il riuso in questione sia solo una coincidenza.

Il nome di alcune pagine è italiano (es: terza_s.php).

Rispetto all’ormai noto fenomeno delle truffe bancarie in cui sono soliti cimentarsi gli attori connazionali, queste campagne rappresentano un elemento di novità. Se infatti nel phishing bancario l’obiettivo è l’accesso ai conti correnti, e per la cui riuscita è necessaria la presenza di un’operatore online, qui i criminali mirano alla raccolta di documenti utili al furto di identità e non sono necessari operatori umani.

Le ipotesi sulla finalità di tali furti sono molte, è difficile ottenere informazioni di sorta: si spazia dallo scambio di persona, ad esempio per l’incasso di assegni di previdenza, apposizione di firme, intestazione di società, al più ampio uso di tecniche di ingegneria sociale.

Si delinea quindi un nuovo filone della ciber-criminalità italiana mirato al furto di identità, un fenomeno, se si vuole, più pericoloso del complementare bancario in quanto i danni derivanti non si limitano al campo finanziario della vittima. Non è possibile escludere, né confermare, l’associazione con il crimine organizzato.