Il CERT-AGID ha rilevato nuove campagne di smishing che sfruttano il nome di INPS per indurre le vittime a cliccare su un link contenuto in un SMS con riferimenti a presunti sussidi per il carburante. A differenza di precedenti phishing con il medesimo tema, in questo caso il flusso fraudolento appare chiaramente orientato all’acquisizione dei dati della carta di credito, con il probabile obiettivo di effettuare addebiti non autorizzati.

A partire dall’inizio di questa settimana, il fenomeno è stato osservato con particolare intensità: in soli quattro giorni il CERT-AGID ha rilevato 14 campagne che sfruttano domini distinti.

Il messaggio esca

L’SMS osservato si presenta come una comunicazione dell’INPS e informa il destinatario dell’erogazione di “sussidi per il carburante” a causa dell’aumento dei prezzi di benzina e diesel, invitandolo a seguire un collegamento esterno.

Il flusso della truffa

Dopo il click, la vittima raggiunge una pagina, visualizzabile solo da smartphone, che riproduce il layout mobile dell’INPS e fa riferimento a uno “schema di compensazione per l’aumento dei prezzi del carburante”. La pagina presenta, quindi, un falso sussidio di 300 euro e riporta come termine ultimo per la presentazione delle domande il 16/05/2026, per creare senso di urgenza.

In una fase successiva viene richiesto l’inserimento di dati personali quali nome completo, indirizzo, città, CAP e numero di telefono.

Il passaggio conclusivo mostra invece una schermata di “accredito rapido sulla carta” che richiede nome del titolare, numero di carta di pagamento, data di scadenza e CVV.

L’elemento più rilevante di questa nuova tipologia è il focus sul furto dei dati delle carte di credito piuttosto che su documenti di identità, CUD e dati lavorativi.

Elementi tecnici riconducibili al PHaaS Darcula

L’analisi tecnica svolta sugli artefatti associati agli smishing, ha evidenziato elementi compatibili con il Phishing-as-a-Service Darcula, piattaforma nota per la realizzazione di kit di phishing mobile-first, multi-step e orientati alla sottrazione di dati personali, carte di pagamento e OTP. In particolare si evidenzia che i file JavaScript osservati risultavano offuscati, pratica solitamente più diffusa in contesti associati a malware. Una volta deoffuscati, sono emersi riferimenti riconducibili all’ecosistema Darcula. Un ulteriore elemento di rilievo riguarda la gestione del dato sottratto alla vittima: il payload trasmesso nelle richieste POST è stato osservato in forma cifrata mediante schema basato su password+salt e successivamente codificato in Base64 prima dell’invio.

Azioni di contrasto

Per mitigare il rischio e contenere le possibili compromissioni, il CERT-AGID ha provveduto a informare il reparto di sicurezza informatica di INPS, ha richiesto la dismissione dei domini malevoli ai registrar e ha diramato gli indicatori di compromissione alle organizzazioni accreditate al flusso IoC.

Indicatori di compromissione

Al fine di rendere pubblici i dettagli di queste campagne si riportano di seguito gli indicatori rilevati.

Link: Download IoC