Le truffe cyber in Italia stanno vivendo una nuova escalation, con campagne malevole che sfruttano WhatsApp, smishing a tema INPS ed email compromesse della Pubblica Amministrazione per sottrarre denaro, credenziali e dati sensibili. Il Cert-AgID segnala queste operazioni come parte di un trend strutturato, in cui gli attori cybercriminali abusano di fiducia, urgenza e strumenti legittimi per colpire privati cittadini e istituzioni, trasformando canali quotidiani in vettori di attacco ad alta efficacia.
Diffusione delle truffe WhatsApp e meccanismi di compromissione
La truffa WhatsApp nota come “prestami dei soldi” si basa sulla compromissione diretta degli account delle vittime. Una volta ottenuto l’accesso, l’attaccante sfrutta la rubrica e le conversazioni pregresse per inviare messaggi a colleghi, amici e familiari, chiedendo somme urgenti per presunte emergenze come spese mediche o imprevisti personali. Il messaggio arriva da un contatto noto, riducendo drasticamente il livello di sospetto.
Il meccanismo diventa particolarmente pericoloso quando restano sessioni attive di WhatsApp Web o dispositivi collegati, che permettono all’attore malevolo di continuare a operare anche dopo tentativi parziali di recupero dell’account. Conversazioni archiviate e notifiche ignorate consentono all’attacco di proseguire in modo silenzioso, generando perdite economiche immediate e un’esposizione ulteriore dei dati personali della vittima. Il Cert-AgID monitora questa campagna come evoluzione di frodi già note, potenziate dall’uso dell’urgenza per impedire verifiche razionali.
Evoluzione dello smishing INPS con furto di dati reddituali
Lo smishing INPS ha compiuto un salto qualitativo rilevante. Le campagne più recenti non si limitano a richiedere documenti di base, ma puntano alla raccolta sistematica di dati reddituali e lavorativi. L’attacco inizia con un SMS che promette presunte erogazioni statali, indirizzando la vittima verso siti fraudolenti che riproducono loghi e grafiche INPS.
Una volta sul sito, l’utente viene spinto a caricare CUD, buste paga, documenti di identità, tessera sanitaria e persino selfie, oltre a compilare moduli con dettagli occupazionali come datore di lavoro, tipo di contratto e data di assunzione. Questo set di informazioni consente ai criminali di profilare il reddito e selezionare le vittime più “appetibili” per frodi bancarie e richieste di credito fraudolente. Il Cert-AgID, in coordinamento con INPS, ha contribuito alla dismissione dei domini malevoli e alla distribuzione degli indicatori di compromissione, ma la sofisticazione della tecnica segnala un’evoluzione preoccupante.
Phishing via email compromesse nella Pubblica Amministrazione
Parallelamente, si rafforzano le campagne di phishing veicolate da email compromesse della Pubblica Amministrazione. Gli attaccanti violano caselle istituzionali reali e le utilizzano per inviare messaggi a destinatari che hanno rapporti pregressi legittimi con l’ente. L’email contiene PDF che simulano fatture, comunicazioni amministrative o presentazioni ufficiali.
All’interno del documento è presente un link che rimanda a progetti Figma personalizzati, completi di nome e logo dell’ente, aumentando la credibilità dell’attacco. Da lì, un ulteriore passaggio conduce a pagine di login false di Microsoft 365, progettate per sottrarre credenziali. L’uso di Figma, piattaforma collaborativa legittima, consente di bypassare molti controlli automatici, mentre l’invio in copia nascosta maschera la portata della diffusione. Il rischio è l’accesso non autorizzato a dati amministrativi e sistemi interni, con impatti potenzialmente estesi.
Pattern comuni e impatto su vittime e istituzioni
Nonostante la varietà dei vettori, le campagne condividono elementi ricorrenti. L’impersonificazione di enti affidabili, l’uso di urgenze improvvise e l’abuso di tecnologie legittime rappresentano il cuore della strategia. Le vittime subiscono perdite finanziarie immediate, ma anche furti identitari che possono emergere mesi dopo sotto forma di prestiti, contratti o richieste di credito non autorizzate. Le istituzioni pubbliche risultano particolarmente esposte, perché una singola compromissione di credenziali Microsoft 365 può aprire l’accesso a documenti, comunicazioni e dati sensibili. Settori come sanità, istruzione e amministrazione locale mostrano vulnerabilità sistemiche, aggravate dalla fiducia implicita riposta nelle comunicazioni interne.
Misure preventive e ruolo del Cert-AgID
Il Cert-AgID distribuisce indicatori di compromissione agli enti accreditati e invita utenti e organizzazioni a non reagire impulsivamente. La prevenzione passa dalla verifica delle richieste tramite canali alternativi, dal controllo manuale delle sessioni attive, dall’adozione della verifica in due passaggi e dalla diffidenza verso upload di documenti richiesti via SMS o email. L’elemento decisivo resta la consapevolezza. Le campagne analizzate dimostrano che la tecnologia da sola non basta: senza attenzione ai segnali di allarme, anche strumenti quotidiani come WhatsApp o piattaforme collaborative diventano armi efficaci nelle mani dei criminali.
Domande frequenti sulle truffe cyber in Italia
Come funziona la truffa WhatsApp “prestami dei soldi”?
L’attaccante compromette un account WhatsApp reale e contatta i numeri in rubrica chiedendo denaro urgente. La fiducia nel contatto noto riduce i controlli e porta a pagamenti immediati.
Perché lo smishing INPS è diventato più pericoloso?
Perché ora raccoglie dati reddituali e lavorativi completi, permettendo frodi bancarie mirate e richieste di credito fraudolente basate su profili realistici.
In che modo il phishing PA sfrutta Figma?
Gli attaccanti usano progetti Figma personalizzati con loghi istituzionali per rendere credibili le email e indurre l’utente a inserire credenziali Microsoft 365 su pagine false.
Cosa possono fare utenti e PA per difendersi?
Verificare sempre le richieste tramite canali alternativi, chiudere sessioni attive, non caricare documenti su siti non ufficiali, applicare autenticazione a più fattori e monitorare costantemente gli IOCs del Cert-AgID.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
