Sintesi

È stato recentemente rilevato un riacutizzarsi di una campagna di phishing a tema “Autorità”, veicolata via e-mail, che sfrutta il nome e il logo della Polizia di Stato.

Descrizione e potenziali impatti

È stato recentemente rilevato un riacutizzarsi di una campagna di phishing a tema “Autorità”, veicolata via e-mail con mittente “house.ccco@msa.hinet.net” ed avente oggetto e contenuti scritti in italiano, che sfrutta il nome Polizia di Stato. L’e-mail presenta nel corpo del messaggio riferimenti a presunte attività di indagine svolte dalle forze di Polizia in ambito penale su temi pedopornografici.

Nel dettaglio, l’e-mail (Figura 1) avvisa l’utente di un presunto “reato informatico” a suo carico relativo a contenuti di tipo pedopornografico e lo invita a rispondere con urgenza, verosimilmente allo scopo di carpire dati sensibili della vittima, per esperire accertamenti al fine di evitare conseguenze penali dovute ad un mancato riscontro.

Tale tecnica, denominata “ callback phishing ”, si basa su un messaggio iniziale apparentemente, appositamente studiato per spingere ad instaurare un canale diretto di comunicazione, che consente all’attaccante di controllare la narrazione, raccogliere informazioni e/o condurre attacchi mirati.

Il testo, inoltre, invita la potenziale vittima a visionare il documento allegato (Figura 2) in formato PDF, in cui viene notificato un presunto “procedimento legale”. Per aumentare la credibilità del messaggio, il documento è corredato da una firma artefatta, attribuita all’ex Capo della Polizia di Stato.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese;
• evitare di fornire i propri dati sensibili a soggetti di dubbia affidabilità;
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) [1] forniti in allegato.

Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.