Il CERT-AgID, ha riscontrato una campagna di phishing che usa il nome dell’Agenzia delle Entrate.
L’e-mail ingannevole
Nell’e-mail (“Rimborso fiscale N°u00b00784841364953050SARSVOV“), proveniente da un fantomatico servizio di supporto ([email protected], l’indirizzo email è inesistente) e che presenta il logo dell’Agenzia si fa riferimento ad un presunto rimborso fiscale di 145 euro.
L’intento sarebbe quello di convincere le vittime a compilare e presentare il Modulo di Rimborso propinato tramite un link e che in realtà porta ad una pagina di phishing con la quale i malfattori tentano di carpire dati personali e bancari dei malcapitati.
Analisi pagina di phishing
Dall’analisi dell’URL (https://memoriaesportivasc.ufsc.br/wp-content/upgrade/httpswww.agenziaentrate.gov.itportalewebguestcittadinipagamenti-e-rimborsirimborsi/) si scopre che la pagina di phishing risiederebbe in un sotto dominio compromesso dell’Università Federale di Santa Caterina in Brasile.
Dopo la raccolta degli estremi personali, vengono richiesti i dati della carta di credito e i codici dispositivi sms e Nexi. Il processo termina con un avviso “Applicazione registrata con succcesso” che assicura che un ordine di bonifico è stato inviato alla banca dell’interlocutore.
Come avviene l’invio dei dati
La comunicazione con il server deputato a raccogliere illecitamente i dati tramite le videate proposte (ovvero frame interni alla pagina principale) avviene di volta in volta con il click dei pulsanti “Avanti” (“<button id=”btn1″ onclick=”_tables.fkbtn(1);”>Avanti</button>”) in calce a ciascuna delle 4 pagine HTML. I dati raccolti all’interno di un parametro array “data” vengono quindi inviati tramite richiesta GET utilizzando il file PHP “sender.php” attraverso la funzione “_tables.iframelink(link, param)” contenuta in una libreria javascript “code.js“.
Raccomandazioni
Matrice Digitale, invita quindi a non usare simili mezzi di pagamento quando si interagisce con strutture sia private che della Pubblica Amministrazione e a verificare sempre eventuali riferimenti normativi proposti a supporto della validità delle richieste, consultando sempre le relative pagine web ufficiali.
In settimana il CERT-AgID ha avuto evidenze di ben cinque campagne massive rivolte a PA e privati.
Di seguito gli IoC
https://urlscan.io/result/51135e99-0897-4bbc-98c5-a134c1d45f8c/
https://cert-agid.gov.it/wp-content/uploads/2023/02/phishing_agenzia-entrate_07-02-2023.json_.txt
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
