Il CERT-AGID lancia l’allarme su una nuova campagna di smishing INPS che sfrutta un falso bonus carburante da 300 euro per rubare dati personali e informazioni delle carte di credito. Gli attaccanti inviano SMS che simulano comunicazioni ufficiali dell’INPS e promettono sussidi per compensare l’aumento dei prezzi di benzina e diesel. Il link contenuto nel messaggio porta a una pagina web fraudolenta ottimizzata per smartphone, costruita per imitare il layout mobile dell’ente e spingere la vittima a inserire dati sensibili entro una scadenza ravvicinata fissata al 16 maggio 2026. L’obiettivo finale è ottenere nome, indirizzo, numero di telefono e soprattutto dati completi della carta di pagamento, inclusi numero, scadenza e CVV. Il CERT-AGID ha rilevato 14 campagne distinte in soli quattro giorni, segnalando un’attività intensa e tecnicamente evoluta. La frode segna un cambio di passo rispetto alle precedenti truffe a tema INPS perché non punta solo a documenti o dati fiscali, ma mira direttamente a strumenti di pagamento immediatamente monetizzabili.
Cosa leggere
La campagna smishing sfrutta il nome INPS e il tema carburante
La campagna sfrutta la fiducia degli utenti nei confronti dell’INPS e la sensibilità economica legata al costo del carburante. Gli SMS arrivano direttamente sui cellulari e sembrano comunicazioni ufficiali sull’erogazione di un sussidio straordinario. Il messaggio informa il destinatario della disponibilità di un presunto contributo per compensare l’aumento dei prezzi di benzina e diesel e lo invita a completare rapidamente la richiesta tramite un link.
La pagina fraudolenta appare solo da smartphone e riproduce con cura colori, font e struttura dell’interfaccia mobile dell’INPS. La vittima visualizza subito il falso bonus da 300 euro e una scadenza imminente che genera pressione psicologica. Questo meccanismo riduce la capacità critica dell’utente, che teme di perdere un’opportunità economica concreta e procede senza verificare l’autenticità del dominio o della comunicazione.
Il falso sito INPS raccoglie dati personali e carte di credito
Il flusso della truffa procede in più fasi per aumentare credibilità e tasso di conversione. Dopo il click sul link contenuto nell’SMS, la vittima raggiunge una home page falsa che presenta lo schema di compensazione come iniziativa legata all’aumento del prezzo dei carburanti. Il primo modulo richiede dati personali come nome completo, indirizzo, città, CAP e numero di telefono. Dopo questa fase, l’utente viene indirizzato a una schermata successiva che propone un accredito rapido del bonus sulla carta di pagamento.
Il form richiede nome del titolare, numero della carta, data di scadenza e CVV. Tutte queste informazioni vengono raccolte e trasmesse agli attaccanti, che possono usarle per addebiti non autorizzati, acquisti fraudolenti o ulteriori attività di frode. La struttura multi-step rende l’attacco più convincente perché imita un normale processo amministrativo digitale.
Darcula PHaaS alimenta la truffa mobile-first
L’analisi tecnica collega la campagna alla piattaforma Phishing-as-a-Service Darcula, già nota per kit mobile-first multi-step progettati per rubare dati personali, carte di pagamento e codici OTP. Il CERT-AGID ha identificato elementi compatibili con questo ecosistema, tra cui file JavaScript offuscati e riferimenti emersi dopo la deoffuscazione. La piattaforma Darcula permette anche ad attori criminali meno esperti di lanciare campagne sofisticate, scalabili e difficili da intercettare con controlli automatici tradizionali. Il payload inviato nelle richieste POST viene cifrato con uno schema basato su password e salt e successivamente codificato in Base64 prima dell’invio. Questo livello di protezione complica l’analisi dei contenuti esfiltrati e rende la campagna più resistente ai sistemi di detection. La scelta di rendere la pagina visibile solo da dispositivi mobili conferma l’approccio mirato agli utenti che aprono SMS direttamente dallo smartphone.
Il CERT-AGID interviene con INPS e registrar
Il CERT-AGID ha agito rapidamente per contenere la campagna e ridurre l’esposizione degli utenti. L’ente ha informato il reparto di sicurezza informatica dell’INPS, ha richiesto la dismissione dei domini malevoli ai registrar competenti e ha distribuito gli indicatori di compromissione alle organizzazioni accreditate al flusso IoC. Queste azioni permettono ad aziende, pubbliche amministrazioni e provider di sicurezza di bloccare domini, payload e infrastrutture usate dagli attaccanti. Il CERT-AGID ha inoltre reso disponibili gli indicatori attraverso un file JSON scaricabile, così da facilitare l’integrazione nei sistemi di difesa. La risposta coordinata è essenziale perché la campagna ruota domini distinti per ogni ondata e tenta di sfuggire ai blocchi tradizionali. La rapidità di segnalazione e takedown limita la durata operativa dei siti fraudolenti, ma non elimina il rischio per chi ha già inserito dati sensibili.
Il falso bonus carburante usa urgenza e pressione economica
La truffa funziona perché sfrutta un tema concreto e percepito come urgente da molti cittadini italiani. L’aumento dei prezzi di benzina e diesel crea preoccupazione diffusa, soprattutto tra utenti che usano quotidianamente l’auto per lavoro o necessità familiari. Il falso bonus da 300 euro appare come un aiuto plausibile e immediato, mentre la scadenza al 16 maggio 2026 aumenta il senso di urgenza. Gli attaccanti costruiscono così una combinazione efficace di fiducia istituzionale, bisogno economico e pressione temporale.
L’utente riceve un messaggio breve, diretto e apparentemente ufficiale, poi trova una pagina graficamente coerente con l’immagine dell’INPS. Questa continuità visiva riduce i sospetti e spinge la vittima a completare la procedura. Il social engineering diventa quindi più pericoloso perché non si basa solo sull’inganno tecnico, ma su una manipolazione precisa delle paure e delle aspettative economiche.
Il furto delle carte distingue questa campagna dalle precedenti
Il focus sulle carte di credito distingue questa campagna dalle precedenti frodi a tema INPS. In passato molte truffe puntavano a documenti di identità, dati fiscali, credenziali SPID o informazioni lavorative. In questo caso l’obiettivo principale è la carta di pagamento, cioè uno strumento immediatamente utilizzabile per frodi economiche. Una volta ottenuti numero, data di scadenza e CVV, gli attaccanti possono tentare acquisti online, addebiti non autorizzati o rivendita dei dati su mercati criminali.
Il danno per la vittima può essere rapido e difficile da gestire, soprattutto se gli addebiti avvengono prima del blocco della carta. Le procedure di rimborso bancario possono richiedere tempo e non sempre coprono integralmente le perdite. Il furto di dati anagrafici associato alle informazioni di pagamento aumenta inoltre il rischio di frodi successive e tentativi di impersonificazione più credibili.
La pagina mobile-first aumenta la credibilità dell’attacco
La pagina fraudolenta risulta progettata per essere visualizzata da smartphone, confermando l’approccio mobile-first tipico dei kit Darcula. Gli attaccanti sanno che gli SMS vengono aperti quasi sempre dal telefono e ottimizzano l’intera esperienza per schermi piccoli, layout verticali e interazioni rapide. Il sito falso imita con precisione l’interfaccia mobile dell’INPS, usando elementi grafici familiari per ridurre la diffidenza. La vittima naviga come farebbe su un portale istituzionale adattato a smartphone e percepisce il processo come credibile. Questa scelta tecnica aumenta il tasso di successo perché l’utente, su mobile, tende a controllare meno attentamente URL, certificati, dettagli grafici e incongruenze testuali. La combinazione tra SMS, pagina responsive e form multi-step crea un percorso lineare che accompagna la vittima fino all’inserimento dei dati della carta.
Le 14 varianti mostrano una campagna intensa e coordinata
Il CERT-AGID ha rilevato 14 campagne distinte in soli quattro giorni dall’inizio della settimana, un dato che segnala un’attività intensa e coordinata. Gli attaccanti utilizzano domini diversi per ogni ondata, rendendo più complesso il blocco completo dell’infrastruttura. Questa rotazione consente di mantenere operativa la truffa anche quando alcuni domini vengono segnalati o rimossi dai registrar. Il flusso IoC del CERT-AGID permette alle organizzazioni accreditate di ricevere indicatori aggiornati e bloccare rapidamente le nuove varianti. La collaborazione con INPS e registrar contribuisce alla rimozione dei domini malevoli, ma la velocità con cui compaiono nuove istanze dimostra la maturità operativa degli attaccanti. La campagna non appare come un episodio isolato, ma come parte di una strategia ripetibile basata su template, automazione e adattamento rapido al contesto italiano.
Gli utenti devono evitare link SMS e verificare solo canali ufficiali
Gli utenti devono adottare comportamenti prudenti per ridurre il rischio di compromissione. Non bisogna mai cliccare su link contenuti in SMS non sollecitati, soprattutto quando il messaggio promette bonus, rimborsi, sussidi o pagamenti urgenti. L’accesso ai servizi INPS deve avvenire digitando manualmente l’indirizzo ufficiale nel browser o usando app e canali certificati. Nessun ente pubblico richiede dati completi della carta di credito, CVV o informazioni di pagamento tramite SMS. Chi riceve un messaggio sospetto deve evitare di inserire dati, conservare l’SMS e segnalarlo al CERT-AGID o alla Polizia Postale. Chi ha già compilato il form deve bloccare immediatamente la carta, contattare la banca, cambiare eventuali credenziali correlate e monitorare movimenti anomali. La prevenzione resta fondamentale perché una volta forniti i dati agli attaccanti, il margine di intervento si riduce rapidamente.
Darcula conferma la crescita del phishing-as-a-service in Italia
La campagna smishing a tema INPS conferma la crescita del Phishing-as-a-Service anche nel panorama italiano. Kit come Darcula permettono a gruppi criminali di costruire pagine credibili, cifrare dati esfiltrati, gestire domini multipli e lanciare campagne mobile-first senza sviluppare tutto da zero. Questa industrializzazione della frode abbassa la soglia tecnica per gli attaccanti e aumenta il numero di campagne attive. I temi cambiano rapidamente in base all’attualità: oggi carburante e bonus, domani rimborsi fiscali, sussidi, multe o comunicazioni bancarie. La capacità di adattare messaggi e layout a enti pubblici riconoscibili rende queste truffe particolarmente insidiose. Il CERT-AGID continua a monitorare l’evoluzione dell’ecosistema Darcula e a condividere indicatori utili per le difese nazionali, ma la consapevolezza degli utenti resta una componente essenziale della protezione.
La campagna INPS dimostra il rischio crescente dello smishing
La truffa del falso bonus carburante dimostra quanto lo smishing sia diventato un vettore efficace per colpire cittadini, carte di pagamento e dati personali. Gli attaccanti sfruttano un canale diretto e personale come l’SMS, un ente pubblico riconoscibile come l’INPS e un tema economico sensibile come il costo del carburante. Il flusso fraudolento raccoglie prima dati anagrafici e poi informazioni di pagamento, aumentando il valore dei dati sottratti. L’intervento del CERT-AGID con segnalazioni, indicatori di compromissione e richieste di takedown limita l’impatto della campagna, ma non sostituisce l’attenzione degli utenti. La regola principale resta semplice: nessun bonus reale richiede l’inserimento del CVV tramite un link ricevuto via SMS. Verificare sempre le comunicazioni dai canali ufficiali, ignorare messaggi urgenti e proteggere i dati della carta di credito sono le misure più efficaci per evitare danni economici immediati.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
