SPID: ecco alcune utili indicazioni su come difendersi dalle attività di phishing.
Negli ultimi mesi, le richieste di attivazione di SPID hanno subito un’impennata senza precedenti superando la quota dei 15 milioni di identità SPID erogate.
Per questo motivo lo SPID è diventato suo malgrado un notevole veicole per le richieste malevole legate al fenomeno del phishing.
Questo anche perché l’autenticazione mediante questo sistema di identificazione è semplice e versatile ed è possibile utilizzarla attraverso molteplici dispositivi.
Lo scopo del phishing è quello di carpire i dati della vittima: ma come si mette in atto?
In pratica si attua un vero e proprio furto di identità digitale. Alla vittima, infatti, viene inviata una mail che sembrerebbe in tutto e per tutto identica ad una mail ordinaria.
Si tratta di un’attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio.
Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.
In questo caso la campagna di phishing poggia su un dominio malevolo appositamente registrato in data 06/10/2020 e denominato “aggiornamento-spid.com”, raggiungibile solo da navigazione tramite smatphone o tablet (mobile), che emula i contenuti della pagina di login di Poste Italiane.
Dal monitoraggio e dall’analisi del CERT- AgID, si deduce che i destinatari sono gli utenti mobili di Poste e che con buona probabilità la verrà veicolata via SMS e non via email.
Cliccando sul link l’utente viene indirizzato ad una pagina che per immagini e contenuti sembra il login ufficiale di Poste Italiane me in che realtà e un suo clone dalle finalità malevoli.
Secondo i consigli di AgID per difendersi dai malware di vario tipo e dagli attacchi phishing vanno seguiti i seguenti step:
Fonte: articolo di Giuseppe Orefice