Salta fuori l’ennesima truffa incentrata sullo SPID, una campagna di phishing che prende di mira gli utenti via mail, con gli adescatori che si spacciano per la AgID (Agenzia per l’Italia Digitale) al fine di sottrarre informazioni sensibili.
A dare la notizia, risalente alla scorsa settimana, è stato il Computer Emergency Response Team dell’AgID (CERT-AgiD) che ha subito preso provvedimenti e ha spiegato come riconoscere questo tipo di truffe e come comportarsi in caso di dubbi.
È emersa l’ennesima campagna di phishing a tema SPID
Il 26 giugno scorso, il CERT-AgID ha comunicato di avere individuato una campagna di phishing, indirizzata agli utenti SPID, che utilizza indebitamente il nome e il logo di AgID.
Come mezzo di diffusione, questa campagna di phishing sfrutta la posta elettronica: i malintenzionati diffondono, tramite e-mail fraudolente, informazioni false per invitare l’utente ad aggiornare la propria documentazione legate allo SPID in scadenza.
Nella mail è presente un link e gli utenti sono invitati a cliccarvi sopra: esso rimanda a un sito malevolo, creato ad hoc per emulare quello ufficiale. Oltre a richiedere l’inserimento delle credenziali, il sito richiede di caricare i propri documenti di riconoscimento (carta d’identità o patente di guida) e la tessera sanitaria. In aggiunta, viene richiesto all’utente di registrare un breve video in tempo reale, attivando la fotocamera dello smartphone: vengono persino fornite istruzioni come “Guarda verso la telecamera” o “Sorridere chiaramente”.
L’obiettivo di questa campagna di phishing è sottrarre agli utenti le credenziali SPID e le copie dei documenti di identità, oltre ad altri elementi identificativi e compromettenti che possono poi essere sfruttati per mettere in atto alcune truffe.
Misure di sicurezza messe in atto dal CERT-AgID e come proteggersi
Il CERT-AgID ha già provveduto a segnalare e far oscurare il dominio che ospitava il sito malevolo it-spid[.]com, che non è in alcun modo riconducibile al Sistema Pubblico di Identità Digitale, per prevenire altri furti di dati.
In aggiunta, il CERT-AgID suggerisce che questa recente campagna di phishing operasse in modo simile a un’altra campagna emersa nel mese di maggio ma anche alle varie campagne di phishing legate all’INPS.
In casi come questo, ovvero quando il tema è qualcosa di “delicato” e legato ai nostri dati bancari o alla nostra identità digitale, è necessario prestare sempre la massima attenzione:
- È bene verificare l’indirizzo e-mail di provenienza delle comunicazioni
- È bene non cliccare sui link presenti nelle e-mail in caso di dubbi (nel caso specifico, il CERT-AgID suggerisce di inoltrare le potenziali e-mail sospette all’indirizzo malware@cert-agid.gov.it)
- È bene consultare il sito Web del CERT-AgID che viene aggiornato costantemente con le ultime notizie legate a tentativi di phishing e annessi suggerimenti su come proteggersi.
- È bene accedere ai servizi SPID (ma anche INPS o banche) tramite il sito ufficiale o le app dei gestori/fornitori del servizio (anch’essi contattabili in caso di dubbi).