Il CERT-AGID: Campagna phishing su Poste Italiane per rubare credenziali SPID. Probabilmente si cerca di sfruttare il click day sul bonus mobilità, in cui ci sono stati problemi agli account di questo tipo

Poste Italiane è l’ultima arma del cybercrime per una campagna phishing. Lo denunciano gli esperti di cybersecurity del CERT-AGID. Obiettivo: rubare le credenziali degli utenti e in particolare quelle dello SPID. Ciò, probabilmente, cercando di sfruttare l’ondata del click day per il bonus mobilità che prevedeva l’uso di un account SPID e delle conseguenti problematiche riscontrate nel corso della giornata. Lo hanno fatto con un dominio malevolo appositamente registrato il 06/10/2020 e denominato aggiornamento-spid[.]com, segnalato da D3Lab. Il monitoraggio della url, cominciato quando questa ancora non presentava contenuti, oggi ha rilevato che:

ore 12:30 circa il server ha iniziato a rispondere con un errore 404

ore 12:40 si è presentata la pagina di cortesia di una istanza nginx

Gli esperti di cybersecurity: Il sito phishing è visibile solo collegandosi da dispositivi mobile o da browser con user agent mobile. Con buona probabilità la campagna verrà veicolata via SMS e non via email

Peraltro, il sito phishing è visibile solo collegandosi da dispositivi mobile o da browser con user agent mobile. Da ciò si deduce che le vittime designate sono utenti mobili di Poste e che con buona probabilità la campagna verrà veicolata dal cybercrime via SMS e non via email. Gli esperti del CERT-AGID ha già provveduto a segnalare il dominio malevolo tra gli IoC a tutela delle sue strutture accreditate e ad allertare tutti i comparti di interesse.