Descrizione e potenziali impatti

È stata rilevata dal CSIRT Italia una nuova campagna di phishing, volta a carpire le credenziali utente delle potenziali vittime, che utilizza come pretesto un presunto accesso non autorizzato al proprio account e-mail (Figura1).

Nel dettaglio la mail, scritta in italiano e contenente riferimenti a servizi erogati da Roma Capitale, esorta la potenziale vittima a cliccare su un link opportunamente predisposto per verificare il proprio account.

Qualora dato seguito al link proposto, la vittima viene reindirizzata ad una landing page malevola, che propone un form di autenticazione riportante loghi e riferimenti riconducibili ad una webmail Zimbra (Figura 2).

Nel caso in cui venga compilato il form ed effettuato il login, i dati verranno inviati ad una risorsa sotto il controllo dell’attaccante.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)¹ forniti in allegato.

¹ Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.