Il CERT-AGID sta continuando a rilevare numerose campagne di smishing che prendono di mira gli utenti INPS. Nel corso del monitoraggio giornaliero di dette minacce ne è stata individuata una che si distingue dalle precedenti per l’approccio intimidatorio adottato. Invece di promettere benefici o rimborsi, come avveniva in passato, i truffatori ora minacciano gli utenti con presunte conseguenze penali per omissioni nella dichiarazione dei redditi.

Dettagli della frode

Tramite SMS che appaiono provenire dall’Ente, le vittime sono indotte a cliccare su di un link che le conduce ad una pagina finalizzata al furto delle informazioni.

Sul sito malevolo viene mostrato all’utente un pop-up contenente un messaggio relativo a una presunta mancanza nella dichiarazione dei redditi e minaccia conseguenze penali in caso di inadempienza:

“Gentile utente, la sua dichiarazione dei redditi risulta mancante. È necessario verificare con urgenza i documenti. Si ricorda che l’omessa dichiarazione dei documenti richiesti può comportare conseguenze di natura penale, ai sensi della normativa vigente.”

Questa pagina è stata aggiornata rispetto alle versioni precedenti, presentando un design più sofisticato e convincente, con loghi e immagini che ricalcano quelle ufficiali e una struttura simile al portale autentico. All’interno della pagina fraudolenta viene richiesto l’inserimento delle generalità e del codice IBAN ma, soprattutto, il caricamento dei seguenti documenti:

• carta d’identità;
• tessera sanitaria;
• patente di guida;
• copia delle ultime buste paga.

È da notare anche come, rispetto alle campagne malevoli precedenti, in questa venga richiesto il caricamento di un “video riconoscimento“:

“Realizza un breve video in cui muovi la testa verso l’alto, verso il basso, poi a destra e a sinistra assicurandoti di NON coprire il viso.”

Utilizzo dei dati sottratti

I dati personali raccolti attraverso queste frodi vengono impiegati per diverse attività illecite. Una delle pratiche più comuni consiste nell’uso dei suddetti documenti per creare identità digitali (SPID) a nome della vittima. Come già riportato in una precedente comunicazione, tale operazione può andare a buon fine solo se non vengono effettuate correttamente le dovute verifiche. Una volta ottenuta la nuova identità digitale i truffatori avranno modo di accedere a servizi pubblici e modificare dati di rilievo, come l’IBAN associato a pagamenti, dirottando così stipendi o pensioni su conti controllati da loro.

Azioni di contrasto

Il CERT-AGID ha avviato le opportune attività di contrasto alla campagna, diffondendo gli Indicatori di Compromissione (IoC) relativi, contattando il servizio di ‘abuse‘ del registrar e informando l’INPS dell’evento in corso.

Raccomandazioni

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sul sito ufficiale dell’ente, verificando attentamente l’indirizzo URL nel browser e assicurandosi che il dominio visualizzato nella barra degli indirizzi coincida con quello ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it

In merito a questo fenomeno, l’INPS ha più volte affrontato l’argomento attraverso apposite pubblicazioni per sensibilizzare gli utenti sull’importanza di essere vigili e di non cedere dati personali.

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC