INPS, smishing a tema benefici previdenziali

Periodicamente gli utenti dell’Istituto Nazionale della Previdenza Sociale INPS sono vittima di truffe online. In questi giorni lo CSIRT Italia ha puntato i riflettori su di una nuova campagna di smishing in corso.

Lo smishing lo ricordiamo è una declinazione del più noto phishing, ovvero una truffa perpetrata tramite sms sempre allo scopo di provare a rubare dati sensibili e denaro alle malcapitate vittime.

Analisi della campagna in atto

Nell’ultima campagna segnalata, i messaggi sms che stanno arrivando invitano l’utente a verificare i propri dati seguendo un link proposto, con il falso pretesto di poter continuare, così, a percepire i benefici INPS.

Il ink riportato sul falso SMS dirotta in verità verso una pagina di landing residente in un dominio “https ://pratica-ue[.]info” registrato dal servizio di hosting HOSTINGER con un IP localizzato in Gran Bretagna e che nulla ha a che vedere con INPS.

Ecco il risultato della query whois.

La pagina iniziale che riporta loghi e riferimenti riconducibili ai servizi erogati da INPS richiede per la verifica dell’identità inizialmente nome e cognome.

Cliccando sul tasto “AVANTI”, successivamente verranno proposte varie pagine simili con la richiesta di altri estremi personali. Trattasi comunque di vari form presentati in cascata in cui tutti i dati e i documenti inseriti vengono inviati tramite metodo POST e pagine PHP verso un database residente sullo stesso sito e presidiato dagli autori criminali.

Di seguito la sequenza delle richieste allo scopo di confermare la corretta identità della vittima:

  • Richiesta per l’upload di una copia fronte/retro della carta identità.
  • segue la richiesta per l’upload di una copia fronte/retro della tessera sanitaria;
  • l’upload di una copia fronte/retro della patente di guida;
  • e l’upload di un selfie con il documento di identità come ulteriore verifica.

Conclusioni

l’INPS esorta sempre tutti gli utenti a fare attenzione a questi tipi di messaggi ovviamente falsi, ormai diventati una consuetudine, specificando che i contatti dell’Istituto avvengono esclusivamente tramite i canali ufficiali riconosciuti e che in nessun caso vengono richiesti dall’INPS dati bancari o anagrafici tramite link contenuti su SMS e posta elettronica. Al riguardo si invita a consultare la pagina dedicata ai contatti.

Azioni di mitigazione

D’altro canto lo CSIRT Italia raccomanda agli utenti e alle organizzazioni di verificare scrupolosamente le comunicazioni ricevute e la relativa attendibilità attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;
  • evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
  • evitare di dar seguito a comunicazioni di questo tipo.

Pubblicati tutti gli IoC al momento disponibili.

Aggiornamento del 31.01.2024

Anche la Polizia Postale in un post pubblico allerta la cittadinanza sulla recente campagna di smishing raccomandando di accedere ai servizi online dell’Istituto esclusivamente dal portale ufficiale https://www.inps.it/.

Su Salvatore Lombardo 350 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.