Sintesi

È stato rilevato il riacutizzarsi di una campagna di smishing che sfrutta nomi e loghi riferibili ai servizi erogati dall’Istituto Nazionale della Previdenza Sociale.

Descrizione e potenziali impatti

È stato rilevato il riacutizzarsi di una campagna di smishing – come precedentemente trattato da questo CSIRT nell’ambito dell’AL04/240117/CSIRT-ITA – che sfrutta nomi e loghi riferibili ai servizi erogati dall’Istituto Nazionale della Previdenza Sociale.

Il testo dell’SMS notifica la necessità di aggiornare i propri dati personali per evitare la sospensione dei benefici INPS, esortando la potenziale vittima a visitare il link contenuto nel testo del messaggio (Figura 1).

Qualora dato seguito al link, l’utente viene reindirizzato verso la landing page che riporta loghi e riferimenti riconducibili ai servizi erogati da INPS e volta a carpire informazioni sensibili dell’utente (Figura 2).

Nel dettaglio, dopo aver inserito i parametri “nome” e “cognome” vengono presentate una serie di pagine malevole nelle quali si richiede l’upload di documenti in formato digitale, quali:

• carta di identità (fronte/retro)

• selfie con il documento di identità visibile

al fine di confermare la corretta identità della vittima.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di dar seguito a comunicazioni di questo tipo.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)¹  forniti in allegato.

¹Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.