Falsa apertura di un conto con SPID, torna il vishing via e-mail

Una nuova campagna di phishing sta prendendo di mira gli utenti italiani sfruttando il marchio SPID e il timore di un furto di identità. La truffa si presenta sotto forma di e-mail che informa la vittima di una presunta richiesta di apertura di un conto corrente online presso Banca Widiba effettuata utilizzando la propria identità digitale. Il messaggio rassicura l’utente che, se l’operazione è stata eseguita personalmente, non è necessario fare nulla. In caso contrario invita invece a contattare con urgenza un numero telefonico indicato nell’e-mail.

La campagna è stata segnalata anche dal CERT-AgID, che ha evidenziato come l’obiettivo degli attaccanti sia indurre le vittime a chiamare un falso servizio di assistenza.

Il telefono sostituisce il link

A differenza delle tradizionali campagne di phishing, questa minaccia non punta a convincere l’utente a cliccare su un collegamento o a inserire le proprie credenziali in una pagina web contraffatta. Il vero obiettivo è la telefonata. Questa tecnica, nota come vishing o voice phishing, sfrutta l’interazione diretta con un falso operatore che, fingendosi un addetto del supporto SPID o della banca, cerca di conquistare la fiducia della vittima e ottenere informazioni riservate. Durante la chiamata possono essere richieste credenziali di accesso, codici OTP ricevuti via SMS, dati bancari oppure può essere chiesto di autorizzare operazioni tramite l’app SPID o installare software di assistenza remota.

I dettagli usati per rendere credibile la truffa

L’e-mail utilizza il logo SPID e un linguaggio formale per apparire autentica. Vengono riportati anche presunti dettagli tecnici relativi al dispositivo utilizzato per l’accesso, come modello dello smartphone, browser, provider e un indirizzo IP localizzato in Polonia. Lo scopo è aumentare il senso di urgenza e convincere la vittima che sia realmente in corso un utilizzo fraudolento della propria identità digitale.

Fonte CERT-AgID

Analizzando il messaggio emergono tuttavia diversi elementi sospetti. L’indirizzo IP riportato è addirittura non valido, poiché contiene un valore superiore al limite previsto per gli indirizzi IPv4. Anche alcune informazioni sul dispositivo risultano poco credibili. Si tratta di dettagli che dimostrano come gli attaccanti puntino soprattutto sull’effetto psicologico della comunicazione piuttosto che sulla precisione tecnica.

Un attacco basato sull’ingegneria sociale

Questa campagna conferma come il fattore umano continui a rappresentare uno dei principali bersagli della criminalità informatica. L’uso di un presunto accesso dall’estero e il riferimento a un conto bancario aperto senza autorizzazione generano ansia e spingono molte persone a telefonare senza effettuare ulteriori verifiche. Una volta stabilito il contatto, i criminali possono mettere in atto sofisticate tecniche di ingegneria sociale per convincere la vittima a consegnare informazioni sensibili o ad autorizzare operazioni che consentono il furto dell’identità digitale o l’accesso ai servizi bancari.

Il consiglio principale è non chiamare mai i numeri riportati in e-mail o SMS che segnalano presunte anomalie. In caso di dubbi è sempre opportuno contattare il proprio gestore SPID o la banca utilizzando esclusivamente i recapiti presenti sui siti ufficiali o sulla documentazione contrattuale. È inoltre importante non comunicare mai credenziali, codici OTP o dati personali durante telefonate ricevute o avviate tramite recapiti indicati in comunicazioni sospette. In presenza di messaggi di questo tipo è consigliabile segnalarli contribuendo così a limitare la diffusione della campagna.

Su Salvatore Lombardo 513 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.