Smishing INPS: nuova truffa minaccia conseguenze penali
inps phishing

Il CERT-AGID sta continuando a rilevare numerose campagne di smishing che prendono di mira gli utenti INPS. Nel corso del monitoraggio giornaliero di dette minacce ne è stata individuata una che si distingue dalle precedenti per l’approccio intimidatorio adottato. Invece di promettere benefici o rimborsi, come avveniva in passato, i truffatori ora minacciano gli utenti con presunte conseguenze penali per omissioni nella dichiarazione dei redditi.
Dettagli della frode
Tramite SMS che appaiono provenire dall’Ente, le vittime sono indotte a cliccare su di un link che le conduce ad una pagina finalizzata al furto delle informazioni.
Sul sito malevolo viene mostrato all’utente un pop-up contenente un messaggio relativo a una presunta mancanza nella dichiarazione dei redditi e minaccia conseguenze penali in caso di inadempienza:
“Gentile utente, la sua dichiarazione dei redditi risulta mancante. È necessario verificare con urgenza i documenti. Si ricorda che l’omessa dichiarazione dei documenti richiesti può comportare conseguenze di natura penale, ai sensi della normativa vigente.”

Questa pagina è stata aggiornata rispetto alle versioni precedenti, presentando un design più sofisticato e convincente, con loghi e immagini che ricalcano quelle ufficiali e una struttura simile al portale autentico. All’interno della pagina fraudolenta viene richiesto l’inserimento delle generalità e del codice IBAN ma, soprattutto, il caricamento dei seguenti documenti:
- carta d’identità;
- tessera sanitaria;
- patente di guida;
- copia delle ultime buste paga.
È da notare anche come, rispetto alle campagne malevoli precedenti, in questa venga richiesto il caricamento di un “video riconoscimento“:
“Realizza un breve video in cui muovi la testa verso l’alto, verso il basso, poi a destra e a sinistra assicurandoti di NON coprire il viso.”

Utilizzo dei dati sottratti
I dati personali raccolti attraverso queste frodi vengono impiegati per diverse attività illecite. Una delle pratiche più comuni consiste nell’uso dei suddetti documenti per creare identità digitali (SPID) a nome della vittima. Come già riportato in una precedente comunicazione, tale operazione può andare a buon fine solo se non vengono effettuate correttamente le dovute verifiche. Una volta ottenuta la nuova identità digitale i truffatori avranno modo di accedere a servizi pubblici e modificare dati di rilievo, come l’IBAN associato a pagamenti, dirottando così stipendi o pensioni su conti controllati da loro.
Azioni di contrasto
Il CERT-AGID ha avviato le opportune attività di contrasto alla campagna, diffondendo gli Indicatori di Compromissione (IoC) relativi, contattando il servizio di ‘abuse‘ del registrar e informando l’INPS dell’evento in corso.
Raccomandazioni
Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:
- Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni che richiedono l’inserimento di dati personali tramite link.
- Controllare di trovarsi sul sito ufficiale dell’ente, verificando attentamente l’indirizzo URL nel browser e assicurandosi che il dominio visualizzato nella barra degli indirizzi coincida con quello ufficiale dell’organizzazione.
- Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it
In merito a questo fenomeno, l’INPS ha più volte affrontato l’argomento attraverso apposite pubblicazioni per sensibilizzare gli utenti sull’importanza di essere vigili e di non cedere dati personali.
Indicatori di Compromissione
Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.
Link: Download IoC