
CSIRT Italia ha rilevato una nuova campagna di phishing che sfrutta il tema della “ricevuta di pagamento” per ingannare gli utenti e sottrarre le loro credenziali. Questa campagna è particolarmente insidiosa poiché utilizza e-mail apparentemente provenienti dall’ “Agenzia delle Entrate-Riscossione”.
Dettagli della campagna
Le e-mail di phishing inviate agli utenti contengono un allegato PDF che sembra essere una ricevuta di pagamento. Quando l’utente apre il PDF, un messaggio esorta ad agire su un pulsante “OPEN” al fine di poter visionare i contenuti dichiarati come protetti.

In realtà il pulsante indirizza verso una pagina web di phishing (https[://italagencia[.online/FatturaIT01879020517A2024.html) che richiede con un modulo l’inserimento delle credenziali di accesso alla casella di posta elettronica. Il tutto è progettato per sembrare legittimo e convincere l’utente a fornire informazioni sensibili.

Osservazioni
Purtroppo il dominio “italagencia[.online” (con Registrar e ASN Namecheap) con la relativa pagina phishing risulta ancora online al momento della scrittura.

Analizzando il codice HTML del modulo “FatturaIT01879020517A2024.html” si può notare che dando seguito alla richiesta con il tasto “Apri-PDF”, il form con una chiamata POST invoca una pagina PHP (contact-form-handler.php) per inviare le credenziali inserite ad un server C2 e visualizzare dopo una finta ricevuta di pagamento PDF (https[://italagencia[.online/attestazione_pagamento.pdf).
Consigli
L’obiettivo principale di questa campagna è in realtà quello di ottenere le credenziali di accesso degli utenti, per poi utilizzarli per ulteriori attacchi o per accedere a informazioni personali e finanziarie. Per proteggersi da questa e altre campagne di phishing, si consiglia di seguire alcune semplici ma efficaci misure di sicurezza:
- Verificare l’autenticità delle e-mail: Controllare attentamente l’indirizzo e-mail del mittente e cercare eventuali segni di falsificazione.
- Non cliccare su link sospetti: Evitare di cliccare su link o aprire allegati in e-mail non richieste o sospette.
- Utilizzare l’autenticazione a due fattori (2FA): Abilitare la 2FA per aggiungere un ulteriore livello di sicurezza agli account, quando possibile.
- Aggiornare regolarmente il software: Mantenere aggiornati i sistemi operativi e i software di sicurezza per proteggersi dalle vulnerabilità note.
- Segnalare email sospette: Inviare segnalazioni di e-mail sospette al proprio provider di servizi e-mail.