I'm the creeper

Bonus mobilità: phishing a danni dell’SPID di Poste Italiane

Dal 4 novembre 2020 al 3 gennaio 2021 è possibile richiedere il bonus bici (bonus mobilità) per un valore massimo di 500€. L’iniziativa è stata proposta dal Governo per incentivare l’acquisto di mezzi di trasposto ecologici come biciclette e monopattini, specialmente vista la correlazione tra inquinamento e coronavirus. Il 5 novembre il CERT ha scoperto un attacco phishing a danni dell’SPID di Poste Italiane per la richiesta del bonus mobilità.

Per richiedere il bonus mobilità è necessario accedere all’applicazione sviluppata appositamente e registrarsi o accedere con le credenziali SPID. L’SPID è il Sistema Pubblico di Identità Digitale per accedere nei siti della Pubblica Amministrazione e privati aderenti utilizzando un’unica password da qualunque dispositivo. SPID è in grado di garantire la tua privacy e autenticarti, ovvero affermare la tua vera identità digitale.

Simulazione autorizazione SPID Poste Italiane. Credits: Poste Italiane

Phishing SPID per Poste Italiane

In Italia esistono diversi enti che offrono l’SPID, tra cui Tim, gruppo IBM, Aruba… Tra i tanti troviamo anche l’SPID sviluppato da Poste Italiane che consente di accedere a diversi servizi dall’apposita app scansionando il codice QR, inserendo la password scelta durante l’iscrizione o con riconoscimento di impronta o facciale.

Da tempo era prevedibile che molti utenti avrebbero richiesto il bonus mobilità. A tal proposito un gruppo di hacker ha registrato il 6 ottobre un dominio malevolo volto a rubare le credenziali SPID degli utenti di Poste Italiane. La società D3Lab ha segnalato il dominio malevolo denominato aggiornamento-spid[.]com quando ancora era privo di contenuti.

Illustrazione phishing. Credits: Kaspersky

Grazie a questa segnalazione è iniziata un’attività di monitoraggio del sito ed è emerso che i browser da mobile o con user-agent mobile era possibile osservare la pagina fake dell’SPID Poste Italiane. Inizialmente solo i browser da PC riuscivano a bloccare la richiesta. Grazie alle segnalazioni dei giorni scorsi ora anche da mobile è bloccato il reindirizzamento alla pagina web. Ciò non toglie la possibilità che a giorni degli utenti di Poste Italiane possano ricevere SMS di phishing mirati per l’inserimento delle credenziali SPID.

Come funziona l’attacco di phishing

L’attacco di phishing prende il nome dalla parola inglese “pescare” perchè sviluppato in modo da far abboccare le proprie vittime. Come i pesci sono tratti in inganno dall’esca che nasconde l’amo, gli umani digitali sono tratti in inganno dalla grafica che nasconde un sito malevolo.

Il phishing avviene in tanti modi e può essere mirato a una sola persona o a un gruppo di questi. Generalmente l’attacco di phishing ha l’obiettivo di rubare credenziali bancarie per effettuare acquisti o bonifici verso l’attaccante o prestanome. Solitamente la vittima riceve un’e-mail o un SMS, a volte anche sui social network, da un mittente fasullo con un nome riconducibile a un’entità veramente esistente: ad esempio l’utente vero di Poste Italiane da cui riceviamo SMS può essere PosteItaliane mentre quello finto potrebbe essere PosteIT. Una volta aperto il messaggio troviamo un testo in cui ci annunciano il problema e un link per risolverlo. Anche il link presenta lo stesso difetto del nome dell’SMS o dell’e-mail, ovvero il link originale di Poste Italiane è www.poste.it, quello falso potrebbe essere www.posteitaliane.it.

Le conseguenze nell’aprire il link o scaricare gli allegati di un’e-mail possono essere molteplici. Scaricando un allegato potremmo installare un malware che magari ha l’intento di spiare le nostre attività (spyware), un ransomware (cripta i dati presenti nel dispositivo e chiede un riscatto per riaverli). Aprendo il link invece solitamente siamo reindirizzati in un sito web in cui la grafica è identica al sito originale ma cambia il dominio. A tal proposito è necessario controllare la presenza di https e verificare sia effettivamente il dominio giusto. E’ opportuno inserire le credenziali solo quando si è sicuri della veridicità del sito web.

Difendersi dal phishing

SMS e e-mail non sono l’unica fonte di phishing. Nel vishing infatti riceviamo una chiamata da un call center o da membro importante dell’azienda in cui ci notificano un problema e per risolverlo occorre dire i dati relativi all’account, principalmente chiedendo PIN o password. L’altra alternativa è la creazione di un falso profilo sui social network e l’invio di messaggi privati o post pubblici notificanti un presunto errore generale nel sito.

Come difendersi dagli attacchi di phishing? Qualunque banca dichiara di non chiedere mai tramite SMS, e-mail, chiamate o altro i dati segreti che solo l’utente conosce quali nome utente, PIN, password. L’unico metodo dunque per difendersi da un attacco di phishing è non ritenere affidabile qualunque cosa si riceva dall’ente, diffidare sempre e non compilare mai con i dati personali i campi richiesti, nè fornirli in altri modi. Nel caso di forte dubbio ogni azienda consiglia di segnalarlo, a volte è presente un’apposita e-mail (per Poste Italiane antiphishing@posteitaliane.it) oppure tramite segnalazione alla Polizia Postale.

Le banche o agenzie monetarie non sono le uniche colpite dagli attacchi di phishing. A marzo 2020 l’OMS è stato il falso mittente di alcune e-mail riguardo la prevenzione per la pandemia da Covid-19. Non solo, a volte gli attacchi di phishing possono essere indotti anche a impiegati di un’azienda. In quest’ultimo caso l’attaccante può dichiarare di essere un’azienda esterna a cui è stato affidato un incarico e chiedere all’impiegato vittima informazioni importanti.

Published by
Silvia Sanna