Il CERT-AgID ha segnalato una nuova campagna di phishing che utilizza il nome del servizio SEND, il Servizio Notifiche Digitali della Pubblica Amministrazione italiana, per colpire utenti italiani attraverso comunicazioni fraudolente costruite per sembrare notifiche ufficiali della Pubblica Amministrazione. La campagna sfrutta la crescente diffusione delle notifiche digitali e il fatto che molti cittadini non abbiano ancora familiarità completa con il funzionamento del sistema SEND, aumentando così le probabilità di successo dell’inganno.
I messaggi individuati simulano comunicazioni amministrative urgenti, avvisi di pagamento oppure notifiche relative a documenti da consultare online con l’obiettivo degli attaccanti di convincere la vittima ad aprire un link malevolo che conduce verso siti web contraffatti progettati per sottrarre informazioni personali e dati finanziari.
Come funziona la catena di phishing
La campagna segue uno schema ormai consolidato nelle operazioni di credential harvesting. La vittima riceve un messaggio e-mail o SMS che richiama il marchio SEND e utilizza una grafica molto simile a quella delle comunicazioni istituzionali. Nel testo vengono inseriti riferimenti a presunte notifiche in attesa, scadenze imminenti oppure possibili sanzioni amministrative per spingere l’utente ad agire rapidamente. Una volta aperto il collegamento, la vittima viene reindirizzata verso una pagina web che imita il portale ufficiale. Il sito richiede informazioni relative alle carte di pagamento.
L’abuso dei servizi istituzionali italiani
Negli ultimi mesi il panorama italiano delle minacce ha mostrato un aumento significativo delle campagne che impersonano servizi pubblici digitali. Cybercriminali e gruppi specializzati nel phishing sfruttano marchi conosciuti come SPID, INPS, Agenzia delle Entrate, PagoPA e ora SEND perché questi servizi sono percepiti dagli utenti come affidabili e legittimi. L’utilizzo di piattaforme istituzionali consente inoltre agli attaccanti di creare messaggi caratterizzati da un forte senso di urgenza. Un avviso relativo a una multa, una comunicazione amministrativa o una pratica in sospeso spinge molte persone ad agire senza verificare attentamente l’autenticità del messaggio ricevuto.
I rischi legati al furto di informazioni
Anche le informazioni apparentemente meno sensibili possono avere grande valore per gli attaccanti. Dati anagrafici, numeri di telefono e indirizzi e-mail possono infatti essere riutilizzati in campagne successive oppure venduti nei circuiti cybercriminali per alimentare altre attività malevole. Nel contesto aziendale il rischio aumenta ulteriormente perché un dipendente vittima di phishing potrebbe involontariamente consentire agli attaccanti di avviare operazioni più complesse contro l’infrastruttura dell’organizzazione.
Le misure di difesa consigliate
Per ridurre il rischio è fondamentale verificare sempre il dominio reale dei link ricevuti tramite e-mail o SMS ed evitare di accedere ai servizi pubblici attraverso collegamenti presenti nei messaggi. È preferibile digitare manualmente l’indirizzo del portale ufficiale oppure utilizzare applicazioni e canali verificati. L’autenticazione a più fattori rappresenta un’importante misura di protezione aggiuntiva perché può limitare l’impatto di eventuali furti di credenziali. È inoltre importante diffidare da comunicazioni che richiedono con urgenza pagamenti, inserimento di dati bancari o caricamento di documenti personali.
Per le organizzazioni diventa essenziale investire nella formazione del personale, aggiornare i sistemi di sicurezza e-mail e monitorare costantemente gli indicatori di compromissione condivisi dal CERT-AgID per individuare rapidamente eventuali tentativi di phishing legati ai servizi digitali pubblici italiani.
