Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Campagna di phishing a tema “mancato pagamento del pedaggio autostradale” (AL03/260508/CSIRT-ITA)

Data:
8 Maggio 2026

Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing, veicolata tramite messaggi whatsapp finalizzata a indurre le potenziali vittime a consultare un presunto insoluto relativo al pedaggio autostradale e a inserire i dati della propria carta di pagamento.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing che, sfrutta il tema del mancato pagamento del pedaggio autostradale per indurre una potenziale vittima ad avviare una procedura di verifica e, successivamente, un pagamento online.

La pagina iniziale malevola risulta molto simile graficamente a quella di Autostrade per l’Italia e invita la potenziale vittima a verificare un presunto mancato pagamento del pedaggio inserendo il numero di targa del proprio veicolo (Figura 1).

Figura 1 - Pagina di consultazione del pedaggio autostradale
Figura 1 – Pagina di consultazione del pedaggio autostradale

Inserendo il numero di targa, la vittima viene reindirizzata a una pagina che mostra il dettaglio di un presunto pedaggio scaduto (Figura 2). In particolare, vengono riportati diversi elementi volti a rafforzare la credibilità della richiesta, tra cui la targa del veicolo, la relativa classe, la data e l’ora del transito, nonché un importo dovuto pari a 3,50 euro.

La pagina indica inoltre uno stato di pagamento denominato “Addebito automatico non riuscito” e una scadenza entro cui effettuare il versamento. Il tutto è accompagnato da un messaggio che intima possibili sanzioni aggiuntive e l’avvio di procedure di recupero in caso di mancato pagamento entro il termine indicato.

Figura 2 - Dettagli del conto del pedaggio scaduto
Figura 2 – Dettagli del conto del pedaggio scaduto

Si osserva, inoltre, come l’importo richiesto sia particolarmente contenuto. Tale circostanza potrebbe contribuire ad abbassare la soglia di attenzione dell’utente, rendendo la richiesta economicamente plausibile e meno sospetta.

Successivamente, la vittima viene indirizzata verso una pagina di “Pagamento Sicuro” (Figura 3). Qui vengono richiesti dati sensibili come il nome del titolare della carta, il numero della carta, la data di scadenza e il codice CVV/CVC.

Figura 3- Pagina malevola per inserimento dei dati di pagamento
Figura 3- Pagina malevola per inserimento dei dati di pagamento

Qualora la vittima prosegua con il pagamento, la pagina restituisce un messaggio di errore secondo cui le carte di debito non sarebbero supportate, invitando l’utente a utilizzare un’altra carta di credito per completare l’operazione (Figura 4).

Tale messaggio appare verosimilmente fuorviante e costruito in modo che l’utente potrebbe non accorgersi tempestivamente della compromissione dello strumento di pagamento utilizzato.

Figura 4- Pagina di errore
Figura 4- Pagina di errore

L’importo richiesto, essendo molto basso, potrebbe essere un elemento utile a rendere la truffa più credibile. Una cifra di pochi euro, infatti, può sembrare plausibile per un presunto mancato pagamento del pedaggio e spingere una potenziale vittima a prestare meno attenzione. Inoltre, per pagamenti online di importo ridotto, in alcuni casi potrebbe non essere richiesta un’ulteriore conferma da parte dell’utente da parte della banca.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di minaccia adottando, tra le altre, le seguenti misure di mitigazione:

  • diffidare da comunicazioni che richiedano il pagamento urgente di importi modesti, soprattutto se accompagnate da riferimenti a sanzioni, scadenze ravvicinate o procedimenti di recupero;
  • verificare sempre la legittimità del sito internet prima di inserire dati personali o finanziari, controllando con attenzione il dominio e gli elementi identificativi della pagina;
  • non accedere a collegamenti ricevuti tramite email, SMS o messaggi inattesi, privilegiando l’accesso diretto ai portali ufficiali digitando manualmente l’indirizzo nel browser;
  • non inserire i dati della propria carta su pagine web di cui non sia stata verificata con certezza l’autenticità;
  • in caso di inserimento dei dati su una risorsa sospetta, contattare tempestivamente il proprio istituto bancario o l’emittente della carta per valutare il blocco dello strumento di pagamento e monitorare eventuali operazioni non riconosciute;

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) 1 forniti nell’apposita sezione.

1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio .

Indicatori di compromissione

Tipologia Indicatore
domain autos[.]brezo[.]top
url hxxps://autos[.]brezo[.]top/vip
url hxxps://autos[.]brezo[.]top/vip/address[.]html
url hxxps://autos[.]brezo[.]top/vip/card[.]html
url hxxps://autos[.]brezo[.]top/vip/home[.]html
url hxxps://autos[.]brezo[.]top/vip/verify-app[.]html

Change log

Versione Note Data
1.0 Pubblicato il 08-05-2026 08/05/2026

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

8 Maggio 2026, 15:30