Negli scorsi giorni l’AdID, l’Agenzia per l’Italia Digitale del governo italiano, ha lanciato l’allarme su una nuova campagna di phishing relativa a uno dei suoi servizi più in vista, almeno dal punto di vista del cittadino: lo SPID. L’obiettivo della campagna è principalmente carpire dati personali estremamente sensibili delle vittime, come la password dello SPID stesso e, peggio ancora, foto e scansioni dei propri documenti, come patente o carta d’identità o tessera sanitaria.
L’attacco parte, come spesso accade, con una email che sembra inviata dall’AgID e che, con tono molto perentorio, ordina al destinatario di aggiornare la propria documentazione digitale, minacciando di bloccare il funzionamento dello SPID in caso contrario. Il malcapitato che “ci casca” viene reindirizzato su un sito dal dominio tutto sommato credibile (it-spid “punto” com), ma che è stato registrato molto recentemente e che in realtà non è in alcun modo associato allo SPID o all’AgID. Qui viene richiesto, previa autenticazione con nome utente e password dello SPID, di caricare le foto fronte e retro dei propri documenti. La “ciliegina” è la richiesta di addirittura un video in tempo reale che mostri il volto dell’utente.
È abbastanza evidente che questo tipo di informazioni può permettere ai truffatori di fare danni estremamente gravi all’identità e alle finanze della vittima. La questione del video, in particolare, può essere usata per aprire account su piattaforme ed enti generalmente molto sicuri, come banche e piattaforme di pagamento digitali - o, peggio, prendere il controllo di conti e account già esistenti. Per esempio, ci sono delle tracce che indicano che i truffatori sono riusciti in qualche caso ad accedere alla piattaforma dell’INPS, e dirottare su altri conti l’accredito di stipendi e pensioni delle vittime.
AgID ha chiesto immediatamente la disattivazione del dominio truffaldino, ma come sappiamo è estremamente facile registrarne un altro altrettanto simile e altrettanto credibile. Le grafiche e il testo sia del sito sia delle email sono realizzate ragionevolmente bene - forse non sono perfette ma diciamo che potrebbero confondere le persone meno attente o tecnologicamente avvezze. Come sempre la difesa numero uno è l’utente stesso: fare sempre attenzione al mittente, guardare con estremo sospetto queste richieste un po’ “generiche” e impersonali soprattutto se arrivano per email. L’AgID ricorda peraltro che se si incontrano comunicazioni sospette è possibile inoltrarle all’indirizzo malware@cert-agid.gov.it per una verifica e un controllo approfondito.
Romero Games Confirms Loss of Funding for New Shooter from Doom Co-Creator John Romero, as Now-Former Employee Blames Microsoft Cuts