Categorie
Truffe online

In corso campagna di phishing con falsi rimborsi fiscali

Tempo di lettura: 3 minuti. Usato il nome dell’Agenzia delle Entrate come esca

I nuovi locali dell'Agenzia delle Entrate di via Finocchiaro Aprile durante l'inaugurazione. Genova, 20 Gennaio 2020. ANSA/LUCA ZENNARO
Tempo di lettura: 3 minuti.

Il CERT-AgID, ha riscontrato una campagna di phishing che usa il nome dell’Agenzia delle Entrate.

L’e-mail ingannevole

Nell’e-mail (“Rimborso fiscale N°u00b00784841364953050SARSVOV“), proveniente da un fantomatico servizio di supporto (support@agenzia.it, l’indirizzo email è inesistente) e che presenta il logo dell’Agenzia si fa riferimento ad un presunto rimborso fiscale di 145 euro.

Fonte CERT-AgID

L’intento sarebbe quello di convincere le vittime a compilare e presentare il Modulo di Rimborso propinato tramite un link e che in realtà porta ad una pagina di phishing con la quale i malfattori tentano di carpire dati personali e bancari dei malcapitati.

Fonte CERT-AgID

Analisi pagina di phishing

Dall’analisi dell’URL (https://memoriaesportivasc.ufsc.br/wp-content/upgrade/httpswww.agenziaentrate.gov.itportalewebguestcittadinipagamenti-e-rimborsirimborsi/) si scopre che la pagina di phishing risiederebbe in un sotto dominio compromesso dell’Università Federale di Santa Caterina in Brasile.

Dopo la raccolta degli estremi personali, vengono richiesti i dati della carta di credito e i codici dispositivi sms e Nexi. Il processo termina con un avviso “Applicazione registrata con succcesso” che assicura che un ordine di bonifico è stato inviato alla banca dell’interlocutore.

Screeshot della varie pagine di richiesta dati

Come avviene l’invio dei dati

La comunicazione con il server deputato a raccogliere illecitamente i dati tramite le videate proposte (ovvero frame interni alla pagina principale) avviene di volta in volta con il click dei pulsanti “Avanti” (“<button id=”btn1″ onclick=”_tables.fkbtn(1);”>Avanti</button>”) in calce a ciascuna delle 4 pagine HTML. I dati raccolti all’interno di un parametro array “data” vengono quindi inviati tramite richiesta GET utilizzando il file PHP “sender.php” attraverso la funzione “_tables.iframelink(link, param)” contenuta in una libreria javascript “code.js“.

Url per invio dati
Invio parametro “data” tramite richiesta GET

Raccomandazioni

Matrice Digitale, invita quindi a non usare simili mezzi di pagamento quando si interagisce con strutture sia private che della Pubblica Amministrazione e a verificare sempre eventuali riferimenti normativi proposti a supporto della validità delle richieste, consultando sempre le relative pagine web ufficiali.

Nel frattempo continua anche la campagna malspam a tema Agenzia delle Entrate che veicola il trojan bancario Ursnif

In settimana il CERT-AgID ha avuto evidenze di ben cinque campagne massive rivolte a PA e privati.

Fonte CERT-AgID

Di seguito gli IoC

https://urlscan.io/result/51135e99-0897-4bbc-98c5-a134c1d45f8c/

https://cert-agid.gov.it/wp-content/uploads/2023/02/phishing_agenzia-entrate_07-02-2023.json_.txt

https://cert-agid.gov.it/wp-content/uploads/2023/02/ioc_agenzia-entrate_07-02-2023_09-02-2023.json_.txt

Di Salvatore Lombardo

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version