Gli esperti di cyber security del CERT-PA: Le Pubbliche Amministrazioni in Italia, e forse anche le aziende, clienti di Aruba stanno subendo attacchi hacker attraverso una campagna di phishing. Obiettivo dei criminali informatici: rubare le credenziali delle carte di credito

In Italia gli utenti di Aruba della Pubblica Amministrazione e forze anche delle aziende private sono sotto attacco del cybercrime, che con un una campagna di phishing tenta di rubare le credenziali delle carte di credito. Lo hanno reso noto gli esperti di cyber securuty del CERT-PA, spiegando che alle potenziali vittime viene inviata una mail malevola. Nel corpo del testo, scritto in un italiano più o meno corretto, si invita l’utente a compilare il form HTML allegato in calce, suggerendo di scaricarlo in locale ed eseguirlo successivamente nel caso in cui non dovesse “funzionare”. L’allegato è, come anticipato, un form HTML che contiene una falsa pagina di Aruba che invita l’utente ad inserire i suoi dati anagrafici e quelli della carta di credito con cui effettuare il pagamento. Poi, per non destare sospetti, al termine delle operazioni gli utenti vengono reindirizzati verso la homepage legittima di Aruba.

Il testo della mail che il cybercrime sta inviando nel nostro paese e il presunto form da compilare

Le email di phishing che stanno arrivando a vari enti della PA in Italia, clienti di Aruba, hanno un testo standard. “Abbiamo incontrato un problema di fatturazione – si legge nei messaggi inviati dal cybercrime -. Questo tipo di errori di solito indica che la vostra carta di credito è scaduta o il vostro indirizzo di fatturazione non è valido. Clicca sul seguente HTML aggiornare le tue informazioni. Ti verrà richiesto di aprire (visualizzare) il file o di salvarlo (scaricarlo) sul tuo computer. Per il miglior risultato, salvare prima il file, quindi aprirlo su un browser web. Il tuo account sarà disabilitato  – conclude il corpo della mail – se non avremo ricevuto alcuna risposta da te in più di ventiquattro ore”. Aprendo la pagina malevola, si accede a un form in cui viene richiesto di inserire nome, cognome, codice fiscale, data di nascita e quelli della carta di credito. Codice di sicurezza compreso.

La campagna di phishing in Italia è attiva almeno dal 18 gennaio e potrebbe essere collegata alla maxi operazione mondiale di credential harvesting, scoperta da MalwareMustDie

Sembra, peraltro, che questa campagna di phishing contro PA e aziende in Italia sia attiva già da tempo. Gli specialisti di cyber security di D3Lab hanno, infatti, scoperto che ce ne sono altre con analoghe caratteristiche (tutte le url puntano alla risorsa “snd1.php“) attive a partire almeno dal 18 gennaio 2109 e ospitate su domini differenti. Ciò significa che i criminali cibernetici stanno prendendo di mira in maniera persistente il nostro paese. Inoltre, le azioni potrebbero essere collegate alla massiccia operazione di credential harvesting, che sta colpendo in tutto il mondo, come ha scoperto MalwareMustDie (MMD) nei giorni scorsi.