
Il Cert-AgiD e l’Agenzia delle Entrate in queste ore stanno diramando un avviso riguardo ad una campagna di phishing in corso.
Attenti all’avviso di raccomandata
I contribuenti starebbero ricevendo via e-mail un presunto avviso di raccomandata da parte di un certo ufficio riscossione dell’Agenzia dell’Entrate, che notifica un atto amministrativo consultabile nell’area riservata dell’Agenzia tramite il link proposto.

La pagina web fraudolenta
Il link camuffato con una label del tipo “https://agenziadelleentrate.gov.it/portale/ARxxxxxxx” nasconderebbe in realtà l’URL della pagina web fraudolenta (https://rjoxlmoudpagenziariscossioneufficioservizi[.]pnwti[.]com/Servizi-Agenzia/area-riservata/portale/ret_url/11f2d05ec10669861a8ff93449ee2d06/login.php) residente in un dominio di primo livello geolocalizzato nella federazione Russa.

Come detto dagli esperti del Cert-AgID, “lo scopo della campagna è quello di sottrarre le credenziali delle vittime utilizzate per accedere ai servizi di Agenzia delle Entrate“.
Infatti l’analisi del codice HTML rileva che il form invierebbe una richiesta HTTP POST alla pagina “key.php” ospitata sullo stesso dominio passando come parametri le credenziali inserite dall’incauto utente.
Dopo ciascun invio il form restituirebbe un messaggio di errore che potrebbe indurre la vittima a reinserire anche altre combinazioni di credenziali possibili.

Massima attenzione
Sebbene il sito in oggetto venga già segnalato come pericoloso dai browser, si ricorda che nell’Area Riservata dell’Agenzia dell’Entrate si accede solo tramite SPID, CIE, CNS o per alcune tipologie di utenze tramite la terna codice fiscale, password e PIN.
In tutti i casi è bene prestare la massima attenzione e non dare seguito a richieste simili fornendo credenziali, codici e dati personali.
IoC
https://urlscan.io/result/9b701e14-6403-4f63-9ed3-ecdee8110f4f/