Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing veicolata tramite SMS, finalizzata a indurre potenziali vittime ad avviare una procedura di verifica e, successivamente, un pagamento online.

La campagna sfrutta impropriamente riferimenti grafici e testuali riconducibili a “SEND – Servizio Notifiche Digitali” e a pagoPA, con l’obiettivo di rendere la richiesta credibile e spingere l’utente a effettuare il pagamento di una falsa sanzione.

Descrizione e potenziali impatti

La campagna simula una procedura amministrativa di consultazione e pagamento di una presunta sanzione stradale. La vittima viene inizialmente invitata a verificare la targa del veicolo; successivamente, la risorsa malevola mostra il dettaglio di una presunta violazione del Codice della Strada, comprensiva di importo dovuto, spese di notifica e riduzione per pagamento entro i termini. La procedura prosegue con la richiesta dei dati dell’intestatario del veicolo e si conclude con il reindirizzamento a una pagina di pagamento, nella quale vengono richieste le informazioni della carta.

Tale sequenza, costruita per apparire coerente con un normale iter amministrativo, contribuisce ad aumentare la credibilità della frode e a indurre la vittima a fornire dati personali e finanziari.

La campagna risulta veicolata tramite SMS apparentemente riconducibili a un generico mittente “Comune”, nei quali viene segnalata una presunta infrazione stradale associata alla targa del destinatario. Il messaggio invita l’utente a consultare i dettagli della violazione attraverso un collegamento esterno. (Figura 1)

La pagina iniziale malevola risulta graficamente costruita per richiamare un servizio istituzionale collegato a SEND – Servizio Notifiche Digitali e a pagoPA . All’utente viene richiesto di inserire il numero di targa del veicolo per verificare l’eventuale presenza di obblighi di pagamento non saldati relativi a verbali, sanzioni amministrative o accordi emessi dalla Polizia stradale. (Figura 2)

A seguito dell’inserimento della targa, la vittima viene reindirizzata a una pagina che mostra il dettaglio di una presunta violazione del Codice della Strada. In particolare, vengono riportati elementi volti a rafforzare la credibilità della richiesta, tra cui:

• velocità rilevata;
• margine di tolleranza applicato;
• velocità accertata;
• limite di velocità consentito;
• superamento del limite;
• data dell’infrazione;
• importo della sanzione;
• spese di notifica;
• importo dovuto con riduzione per pagamento entro 5 giorni.

Nel caso osservato, l’importo richiesto risulta pari a 44,40 euro, composto dalla sanzione ridotta e dalle presunte spese di notifica. La presenza di un importo contenuto e di una riduzione per pagamento rapido appare funzionale a generare urgenza e ad abbassare la soglia di attenzione dell’utente. (Figura 3)

La procedura prosegue con una pagina dedicata ai dati dell’intestatario del veicolo, nella quale vengono richieste informazioni personali quali nome e cognome, indirizzo, comune, provincia, CAP, numero di telefono e indirizzo e-mail. Tale fase consente agli attori malevoli di raccogliere dati anagrafici e di contatto potenzialmente utilizzabili per successive attività fraudolente, campagne di phishing mirate o tentativi di furto d’identità. (Figura 4)

Successivamente, la vittima viene indirizzata verso una pagina di pagamento che riproduce un’interfaccia apparentemente istituzionale e riporta il logo SEND e riferimenti grafici a pagoPA . In questa fase vengono richiesti dati sensibili della carta di pagamento. (Figura 5)

L’inserimento di tali informazioni può comportare la compromissione del sistema di pagamento utilizzato, con possibile esecuzione di transazioni non autorizzate o riutilizzo dei dati su ulteriori circuiti fraudolenti.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di minaccia adottando, tra le altre, le seguenti misure di mitigazione:

• diffidare da SMS, e-mail o messaggi istantanei che richiedano il pagamento urgente di presunte sanzioni, multe o notifiche amministrative, soprattutto se accompagnati da scadenze ravvicinate o minacce di maggiorazioni;
• non accedere a collegamenti ricevuti tramite messaggi inattesi, anche qualora il mittente sembri riconducibile a un ente pubblico, a un Comune o a un servizio istituzionale;
• verificare sempre il dominio del sito prima di inserire dati personali o finanziari, prestando attenzione a eventuali domini simili a quelli ufficiali ma non riconducibili ai portali istituzionali;
• accedere ai servizi pubblici esclusivamente tramite i canali ufficiali, digitando manualmente l’indirizzo nel browser o utilizzando app e portali istituzionali riconosciuti;
• non inserire dati della carta di pagamento su pagine web la cui autenticità non sia stata verificata con certezza;
• in caso di inserimento dei dati su una risorsa sospetta, contattare tempestivamente il proprio istituto bancario o l’emittente della carta per valutare il blocco dello strumento di pagamento e monitorare eventuali operazioni non riconosciute;

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) ¹ forniti nell’apposita sezione.

¹ Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio .