Articoli

Attacchi phishing allo SPID: i consigli per proteggere la propria identità digitale pubblica

Nelle ultime settimane l’utilizzo dello SPID (Sistema Pubblico di Identità Digitale) è divenuto sempre più popolare tra gli italiani anche perché l’autenticazione mediante questo sistema di identificazione è semplice e versatile ed è possibile utilizzarla attraverso molteplici dispositivi: purtroppo, però, la popolarità del sistema SPID ha inevitabilmente attratto l’attenzione del crimine informatico e infatti si assiste ad un aumento delle campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.

Le campagne ai danni di Poste Italiane

Già in novembre, l’Agenzia per l’Italia Digitale (AGID) ha messo in guardia i cittadini circa i preparativi per una campagna di malware via SMS che prendeva di mira i cittadini che avevano già attivo lo SPID con Poste Italiane.

Al tempo, gli attaccanti avevano registrato il dominio “aggiornamento-spid.com” raggiungibile solo attraverso dispositivi mobili, che riproduceva la pagina di login di Poste Italiane. L’intento era quello di collezionare le credenziali degli utenti mobili di Poste attraverso una campagna di phishing via SMS.

Fortunatamente la campagna fu stroncata sul nascere grazie agli esperti dell’azienda D3Lab che avevano individuato il dominio sospetto prima che gli attori malevoli lo rendessero operativo.
Poco più di due mesi dopo, il CERT-AGID ha diramato un nuovo alert circa una nuova campagna di phishing che prende di mira gli utenti di Poste Italiane ed utilizza lo SPID come esca.

I messaggi utilizzano come oggetto:
Poste Italiane – PosteID abilitato a SPID – Data: 11/12/2020

mentre il corpo dell’e-mail recita:
Ti comunichiamo la modifica delle Condizioni Generali del Servizio di Identità Digitale “PosteID abilitato a SPID” nella nuova versione.

L’email notifica alle potenziali vittime una modifica delle condizioni generali del servizio SPID e le invita ad accedere ad un link riportato nel testo minacciando il blocco della carta PostePay.
Una volta cliccato sul link, l’utente è indirizzato, dopo alcune ridirezioni, ad una pagina che appare come una copia esatta di una pagina di login del sito di Poste.

“Si invita pertanto a non seguire il link e soprattutto a non inserire credenziali all’interno di form ospitati su domini non ufficiali”, raccomanda l’avviso pubblicato dal CERT AGID.

I domini fraudolenti utilizzati in questa campagna di phishing individuati dagli esperti del CERT AGID sono:
• “http://mundpdeportivo.for-our[.]info/”
• “http://default-page-poste.is-certified[.]com/serv-cliente/a1b2c3/30edaf01b08cb9fdd9d1171efec2e3e7/login/”,
• “http://default-page-poste.is-certified[.]com/”
• “http://ftr-postepay-cl-fcc.is-certified[.]com/”

I rischi

Con l’incremento del numero di servizi che offrono la possibilità di autenticazione SPID aumenteranno le campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.
Questi attacchi possono avere diverse finalità, dalla collezione di informazioni sugli ignari utenti alla distribuzione di codici malevoli sviluppati per rubare dati sensibili come credenziali di accesso ai servizi di home banking.

Gli attacchi potrebbero anche consentire ai criminali informatici di rubare le credenziali SPID previste dal primo livello di sicurezza e di impersonare le vittime. Si ricordi infatti che lo SPID offre tre livelli di sicurezza per l’accesso, ovvero:
• il primo livello attraverso un nome utente e una password scelti dall’utente;
• il secondo livello attraverso nome utente e password più un codice temporaneo di accesso fornito tramite SMS o app;
• il terzo livello, oltre al nome utente e la password, richiede un supporto fisico per l’identificazione, come una smart card.

Nei prossimi mesi, le campagne potrebbero avere carattere interazionale: ricordiamo, infatti, che il sistema SPID è candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014. I cittadini europei in possesso dell’identità SPID potranno utilizzarla per autenticarsi verso i servizi resi disponibili in Rete dalle pubbliche amministrazioni di tutta l’Unione europea. Non solo, anche servizi gestiti da soggetti privati potranno implementare un meccanismo di autenticazione attraverso SPID.

I consigli per difendersi

Per proteggere lo SPID dagli attacchi phishing ed evitare di rimanere vittima di queste campagne malevoli è raccomandato di non cliccare su link contenuti in messaggi non sollecitati che invitano l’utente ad una azione, come premere su un link o aprire un allegato, con carattere d’urgenza.

Fare attenzione all’indirizzo delle pagine sulle quali si inseriscono le proprie credenziali, verificare che i domini siano quelli legittimi non facendosi ingannare dalla eventuale presenza del lucchetto nella barra degli indirizzi.

Sono infatti in aumento campagne di phishing che utilizzano siti HTTPs per mostrare alle vittime pagine disegnate per collezionare le loro credenziali.

 

Fonte: CyberSecurity360

Phishing a tema bonus bici contro lo SPID di Poste Italiane, la truffa del finto sms per rubare dati

È in atto una truffa di tipo phishing contro lo SPID di Poste Italiane: le esche utilizzate sono un’e-mail o un SMS che invitano le ignare vittime a collegarsi al proprio account per aggiornare l’app PosteID necessaria alla gestione della propria identità elettronica. L’obiettivo dei criminal hacker è, ovviamente, quello di rubare informazioni riservate e denaro.

Phishing contro lo SPID di Poste Italiane: l’esca del bonus bici

Come sempre accade nei casi di intenso traffico Internet degli utenti verso siti di particolare interesse, i malintenzionati digitali tendono a sfruttarli per trarne profitto: è questo il caso del Click Day per il bonus bici che ha polarizzato l’attenzione dei potenziali interessati ad accaparrarsi il bonus di 500 euro per l’acquisto di biciclette e monopattini.

Poiché l’accesso alla procedura di rilascio del bonus avveniva anche mediante identità SPID ottenuta dal sito di Poste Italiane, i criminal hacker hanno registrato a partire dal 6 ottobre scorso un dominio malevolo appositamente denominato aggiornamento-spid[.]com.

Attualmente il dominio fake è stato segnalato come malevolo e inserito fra gli Indicatori di compromissione (IoC) affinché sia prontamente inserito in blacklist nei sistemi che tutelano la sicurezza informatica. Se si cerca di raggiungere questo sito, i browser Chrome, Edge e Firefox lo segnalano già come sito ingannevole mediante un chiaro avviso su sfondo rosso visibile nella figura sottostante. Invece, i browser da mobile non lo riconoscono e dunque gli utenti che lo dovessero accedere da dispositivo mobile, si troverebbero davanti una pagina perfettamente similare a quella lecita. Quest’ultimo elemento ha fornito l’indicazione di come sia probabile l’organizzazione di una vasta campagna phishing via e-mail che utilizzerà il mezzo dell’SMS per invitare gli utenti ad aggiornare le credenziali SPID mediante il link malevolo verso il sito fake tentando di mietere vittime.

In questi giorni, inoltre, circola anche una e-mail inviata dai sistemi automatici di Poste Italiane dall’indirizzo info@posteid.poste.it che invita ad aggiornare l’app di PosteID fornendo i link per Android ed Apple, fornendo come motivazione la dismissione della vecchia versione dell’app al 22 ottobre. La contemporaneità con la campagna fake su SPID deve destare sospetto in chiunque riceva la mail, perché sebbene i link appaiano come leciti rimandando all’app Play Store, si consiglia di effettuare gli aggiornamenti sempre e solo direttamente dagli store ufficiali di Android e Apple direttamente dal cellulare senza seguire link ricevuti, perché per quanto appaiano ben formati, possono nascondere chiamate a malware e contenere codice malevolo. Un’altra verifica da fare è controllare l’ultimo aggiornamento effettuato dal device mobile direttamente dall’app Play Store in corrispondenza dell’app PosteID verificando la data effettiva dell’ultimo aggiornamento. In caso di necessità, si consiglia di procedere solo dallo store per scaricare l’ultima versione.

Questa tattica ormai datata consente agli hacker di eludere i tradizionali strumenti di sicurezza della posta elettronica per far sì che gli utenti clicchino su un link dannoso e inseriscano le proprie credenziali.

I consigli per difendersi dalla truffa

Chiunque riceva un SMS o un’e-mail acceduta da mobile, che inviti a cliccare la pagina SPID al fine di autenticarsi per accedere al bonus bici dovrebbe cestinare immediatamente il messaggio. Il sito di Poste Italiane non menziona la specifica occorrenza di una probabile campagna di phishing: tuttavia, nella sua pagina dedicata al contrasto delle truffe digitali, unitamente ad una serie di indicazioni per la difesa, chiede di segnalare i tentativi di phishing che possono riguardare l’azienda Poste Italiane al sito antiphishing@posteitaliane.it.

In Italia il phishing viene fatto ancora prevalentemente tramite e-mail con link che puntano a siti falsi, simili a quello originale, con un URL simile oppure che differisce per comuni errori di battitura nell’indirizzo, per poter raccogliere anche chi digita l’indirizzo errato direttamente nel browser. Anche nel caso dell’attuale truffa phishing ai danni dello SPID di Poste Italiane, “aggiornamento-spid[.]com” rappresenta una variante rispetto allo standard, un sito creato simile a quello di Poste Italiane ma con un URL che risponde a un preciso bisogno del momento, legato a chi effettua ricerche per il malfunzionamento dello SPID di Poste Italiane durante il click day per il bonus mobilità oppure come dichiarato dal ministero per essere veicolato tramite e-mail ed SMS, un fenomeno che in Italia non è ancora usato frequentemente, ma che sicuramente appare in crescita.

Fortunatamente le banche hanno fatto passi enormi in termini di awareness comunicando con ogni mezzo ai propri clienti che mai un link o una richiesta di cambio dati o password sarà inviata via e-mail o SMS, ma molti si rifiutano di leggere con attenzione tali raccomandazioni con le conseguenze che conosciamo, ovvero di essere tratti in inganno, infettati e spesso derubati.

Si suggerisce di adottare strumenti appositi per il contrasto delle minacce su mobile device e contro il phishing via SMS, il cosiddetto smishing. In generale, tuttavia, alcune buone norme di comportamento per proteggersi dal phishing via e-mail ed SMS consistono in:

1. Conoscere i campanelli d’allarme. Ci sono alcune caratteristiche che possono indicare di essere vittima di un attacco attraverso un’e-mail. Alcuni campanelli d’allarme sono: scarsa formattazione, errori di ortografia e grammatica e saluti generici, come “caro utente” o “caro cliente”. È necessario assicurarsi che i link partano da https:// e non da http://. Non ci si deve fidare mai dei messaggi urgenti o allarmanti. Per gli SMS, di solito le banche e altre organizzazioni non inseriscono link direttamente nel messaggio, ma lo usano solo come notifica.

2. Non rivelare troppe informazioni. Come regola generale, bisogna condividere il minimo indispensabile, indipendentemente dal sito in cui ci si trova. Le aziende non hanno mai bisogno del codice fiscale o della data di nascita dei clienti per fare affari con loro. Quindi non si devono fornire mai le proprie credenziali a terzi.

3. Cancellare le e-mail sospette. È buona norma cancellare le e-mail sospette senza aprirle e senza cliccare su alcun link, oppure inoltrarle al reparto IT per le indagini.

4. Non cliccare sugli allegati. Non è consigliabile aprire gli allegati di queste e-mail sospette o strane ed in particolare gli allegati Word, Excel, PowerPoint o PDF.

5. Verificare il mittente. Per ogni e-mail che si riceve, è buona norma verificare chi la stia inviando. Chi o cosa è la fonte dell’e-mail? Ci sono errori di ortografia nel dominio e-mail? Controllare se ci sono errori di ortografia o alterazioni negli indirizzi e-mail del mittente. Non si deve esitare a bloccare i mittenti sospetti tramite il proprio client di posta elettronica. Per gli SMS si deve prestare più attenzione perché far apparire che un SMS sia stato inviato da una banca o altra organizzazione è veramente molto semplice. Quindi se non ci si aspetta l’SMS e se ne riceve uno con un link, è opportuno non cliccare.

6. Mantenere aggiornati i propri dispositivi. Come regola d’oro ci si deve assicurare che tutte le proprie applicazioni, sul proprio telefono cellulare e sul computer desktop, siano aggiornate alle ultime versioni del software. Queste versioni hanno le ultime patch di vulnerabilità e le ultime difese per mantenere il device al sicuro. L’utilizzo di software obsoleti può lasciare delle porte aperte agli hacker per accedere alle informazioni personali.

 

Fonte: AziendaDigitale