Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Phishing: campagna a tema “ricevuta di pagamento” (AL01/241003/CSIRT-ITA)

Data:
3 Ottobre 2024 11:29

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una nuova campagna di phishing, volta a carpire le credenziali utente delle potenziali vittime, che utilizza come pretesto la visualizzazione di un presunto documento (Figura 1).

preview
Figura 1 – E-mail di Phishing

Nel dettaglio tale campagna – veicolata tramite e-mail ed avente oggetto e contenuti scritti in italiano – presenta nel corpo del messaggio riferimenti ai servizi erogati dall’Agenzia delle Entrate-Riscossione. Il corpo del testo utilizza come pretesto la disponibilità di una presunta ricevuta di pagamento con la quale si invita la potenziale vittima ad aprire un file PDF allegato al fine di raggiungere una risorsa esterna (Figura 2).

Figura 2 – Contenuto dell’allegato

Qualora aperto il documento, un messaggio esorta l’utenza ad agire su un link (OPEN) al fine di poter visionare i contenuti dichiarati come “protetti”.

Agendo sul link, la vittima viene indirizzata verso una risorsa esterna opportunamente predisposta volta a carpire le credenziali della casella e-mail, ove inserite, al fine di aprire il presunto PDF contenente la suddetta ricevuta (Figura 3).

Figura 3 – Landing page malevola

Successivamente, una ricevuta di pagamento riportante loghi e riferimenti della suddetta Agenzia, contenente dati anagrafici opportunamente predisposti, viene presentata all’utenza (Figura 4).

preview
Figura 4 – Ricevuta opportunamente predisposta

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing/malspam diffidando da comunicazioni inattese;
  • non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
  • accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso;

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)1 forniti in allegato.

 

1Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.