Campagna di phishing a tema “Corriere Bartolini” (AL01/260713/CSIRT-ITA)
Data:
13 Luglio 2026
Sintesi
Questo CSIRT ha recentemente rilevato una campagna di phishing, veicolata tramite messaggi SMS, finalizzata a indurre le potenziali vittime a prenotare nuovamente una presunta consegna non andata a buon fine e a inserire i dati personali e della propria carta di pagamento.
Descrizione e potenziali impatti
Questo CSIRT ha recentemente rilevato una campagna di phishing, veicolata tramite messaggi SMS, finalizzata a indurre le potenziali vittime a prenotare nuovamente una presunta consegna non andata a buon fine e a inserire i dati personali e della propria carta di pagamento.
Il messaggio inviato alla potenziale vittima è molto simile a quelli normalmente utilizzati dalle società che effettuano consegne a domicilio per le mancate consegne (Figura 1), in cui si invita l’utente a collegarsi a un sito per la prenotazione della nuova consegna.

Seguendo il collegamento presente nel messaggio, la pagina iniziale malevola che si apre risulta molto simile graficamente a quelle normalmente utilizzate per verificare che la navigazione del sito non stia avvenendo per mezzo di strumenti automatizzati (Figura 2).

Effettuato il controllo, la vittima viene reindirizzata a una pagina che mostra il dettaglio di un presunto “tentativo di consegna fallito” (Figura 3). In particolare, vengono riportati diversi elementi volti a rafforzare la credibilità della richiesta, tra cui il numero di spedizione (riferimento tracking) e la data entro cui deve essere richiesta la nuova consegna.

Tali informazioni sono accompagnate da un messaggio che intima la possibilità che la spedizione venga restituita al mittente o reindirizzata ad altro punto di consegna, qualora i dati non vengano confermati in tempi brevi.
Per proseguire nella procedura la potenziale vittima viene reindirizzata a una pagina in cui vengono richiesti i dati necessari alla nuova consegna (Figura 4).

Successivamente, la vittima viene indirizzata verso una pagina di “Pagamento Sicuro” (Figura 5), in cui viene richiesto il pagamento di una cifra esigua per la gestione della nujova consegna del pacco. Quindi vengono richiesti dati sensibili come il nome del titolare della carta, il numero della carta, la data di scadenza e il codice di sicurezza (CVV/CVC).

Qualora la vittima prosegua con il pagamento compare una pagina molto simile a quelle normalmente visualizzate durante le transanzioni di pagamento online (Figura 6).

La pagina si chiude reindirizzando l’utente verso la home page legittima del corriere.
In particolare, l’importo richiesto, essendo molto basso, potrebbe essere un elemento utile a rendere la campagna più credibile. Una cifra esigua, infatti, può sembrare plausibile per poter fruire del servizio di nuova consegna e spingere una potenziale vittima a prestare meno attenzione. Inoltre, per pagamenti online di importo ridotto, in alcuni casi potrebbe non essere richiesta un’ulteriore conferma da parte della banca dell’utente.
Azioni di mitigazione
Gli utenti e le organizzazioni possono far fronte a questa tipologia di minaccia adottando, tra le altre, le seguenti misure di mitigazione:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
- diffidare da comunicazioni che richiedano il pagamento urgente, anche quando si tratta di importi modesti, soprattutto se accompagnate da riferimenti a presunte consegne, scadenze ravvicinate o procedimenti di recupero;
- verificare sempre la legittimità del sito internet prima di inserire dati personali o finanziari, controllando con attenzione il dominio e gli elementi identificativi della pagina;
- non accedere a collegamenti ricevuti tramite email, SMS o messaggi inattesi, privilegiando l’accesso diretto ai portali ufficiali digitando manualmente l’indirizzo nel browser;
- non inserire i dati della propria carta su pagine web di cui non sia stata verificata con certezza l’autenticità;
- in caso di inserimento dei dati su una risorsa sospetta, contattare tempestivamente il proprio istituto bancario o l’emittente della carta per valutare il blocco dello strumento di pagamento e monitorare eventuali operazioni non riconosciute.
Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) 1 forniti nell’apposita sezione.
1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio .
Indicatori di compromissione
| Tipologia | Indicatore |
|---|---|
| domain | brt.phiamg.cc |
| url | https://brt.phiamg.cc/track-it |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 13-07-2026 | 13/07/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
13 Luglio 2026, 16:49
CSIRT Toscana