Phishing Agenzia delle Entrate: allerta CERT-AGID su login SPID falsi per la PA

Il CERT-AGID segnala una campagna di phishing mirata alle PA: falsi siti dell'Agenzia delle Entrate precompilano l'email per rubare credenziali SPID.

Contenuto

Phishing Agenzia delle Entrate: allerta CERT-AGID su login SPID falsi per la PA
Phishing Agenzia delle Entrate: allerta CERT-AGID su login SPID falsi per la PA

Il CERT-AGID ha recentemente individuato una sofisticata operazione di phishing che sfrutta l'identità dell'Agenzia delle Entrate-Riscossione per colpire operatori della Pubblica Amministrazione e del settore privato. L'obiettivo primario dell'attacco è la sottrazione di credenziali di accesso attraverso un sito fraudolento che replica le interfacce istituzionali. Secondo quanto dichiarato ufficialmente dall'ente di controllo: «Ciò che distingue questa campagna da altre precedenti è che è particolarmente mirata a Pubbliche Amministrazioni, oltre che ad aziende private».

L'offensiva si basa sull'invio di comunicazioni ingannevoli che sollecitano l'utente a collegarsi all'area riservata dell'Agenzia delle Entrate. Il link fornito conduce a una pagina web appositamente costruita per simulare il modulo di login tramite SPID (Sistema Pubblico di Identità Digitale). Per aumentare l'efficacia dell'inganno, gli attaccanti hanno inserito il logo ufficiale di AgID nella pagina contraffatta, creando un'illusione di legittimità che può facilmente trarre in inganno il personale dipendente meno esperto o distratto.

Punti chiave dell'allerta
  • Rilevata una campagna di phishing che utilizza impropriamente il brand dell'Agenzia delle Entrate-Riscossione.
  • Il target principale è costituito da account istituzionali di Pubbliche Amministrazioni e aziende private italiane.
  • Utilizzo di una tecnica di personalizzazione del link per precompilare il campo email della vittima nel falso login.
  • Intervento tempestivo del CERT-AGID per il takedown del sito e la diffusione degli Indicatori di Compromissione (IoC).

Anatomia dell'attacco: la personalizzazione del link

L'elemento tecnico di maggiore rilievo in questa operazione riguarda la modalità di presentazione del form di login. Quando la vittima clicca sul link contenuto nell'email di phishing, atterra su una pagina dove il proprio indirizzo email risulta già inserito nel campo di testo. Questa precompilazione è resa possibile dalla personalizzazione del link inviato individualmente a ciascun destinatario. In questo scenario, l'utente è indotto a credere che il sistema lo abbia riconosciuto correttamente, riducendo drasticamente il sospetto di trovarsi su un portale malevolo.

La richiesta dell'inserimento della sola password agisce come un catalizzatore psicologico. In un possibile scenario di analisi comportamentale, la riduzione dello sforzo richiesto per l'accesso (un solo campo da compilare invece di due) abbassa le difese critiche del destinatario. La vittima, vedendo la propria email istituzionale già presente, può erroneamente associare questa funzione a un normale ripristino di sessione o a un automatismo del browser, procedendo così alla consegna involontaria della propria chiave di accesso digitale agli attaccanti.

È importante sottolineare che la precompilazione dell'email suggerisce una fase preliminare di raccolta informazioni da parte degli autori della campagna. Sebbene gli attaccanti disponessero di indirizzi target precisi per personalizzare i link, la fonte ufficiale non indica la provenienza di tali elenchi. Questo dettaglio evidenzia la natura mirata dell'attacco, che non sembra procedere per tentativi casuali ma attraverso una selezione accurata dei profili da colpire all'interno delle strutture amministrative e aziendali.

Il ruolo della fiducia nelle interfacce istituzionali

La clonazione del modulo di login SPID rappresenta un attacco diretto alla "trust boundary" (il confine di fiducia) tra cittadino e Stato. L'uso del logo AgID nel sito fraudolento è un espediente di ingegneria sociale volto a sfruttare la familiarità dell'utente con i portali governativi. Poiché lo SPID è diventato lo standard di accesso per quasi tutti i servizi pubblici, la replica della sua interfaccia grafica garantisce agli attaccanti un tasso di successo potenzialmente superiore rispetto a template grafici generici o meno rifiniti.

Questa strategia non sfrutta vulnerabilità tecniche intrinseche nel protocollo SPID o nelle infrastrutture dell'Agenzia delle Entrate, che non risultano violate. Si tratta invece di una manipolazione del processo di autenticazione agli occhi dell'utente. Il CERT-AGID ha reagito prontamente alla minaccia, contattando l'ente ospitante il sito fraudolento per richiederne l'immediata disattivazione. Parallelamente, gli Indicatori di Compromissione (IoC) sono stati diramati attraverso i canali ufficiali per permettere ai responsabili IT di bloccare la minaccia a livello perimetrale.

In questo contesto, il valore delle credenziali sottratte è estremamente elevato. L'accesso abusivo ai sistemi collegati all'Agenzia delle Entrate-Riscossione potrebbe consentire ad attori malevoli di operare all'interno di piattaforme critiche per la gestione tributaria e amministrativa. Per una Pubblica Amministrazione, la perdita di controllo su un account istituzionale non rappresenta solo un problema di sicurezza informatica, ma un potenziale rischio per l'integrità delle procedure gestionali e per la riservatezza delle operazioni svolte per conto dell'ente.

«Ciò che distingue questa campagna da altre precedenti è che è particolarmente mirata a Pubbliche Amministrazioni, oltre che ad aziende private.» — CERT-AGID

Perché è importante

La rilevanza di questa campagna risiede nella sua natura selettiva. Colpire le PA significa tentare di infiltrarsi in nodi cruciali della gestione pubblica, dove le credenziali di accesso aprono le porte a sistemi collegati all'Agenzia delle Entrate-Riscossione. La compromissione di un singolo operatore può avere ripercussioni a catena sulla sicurezza dei dati gestiti dall'ente, esponendo l'amministrazione a incidenti di sicurezza che richiedono lunghe fasi di bonifica e ripristino dell'affidabilità delle identità digitali interne.

Inoltre, l'uso della precompilazione dell'email indica un'evoluzione nelle tattiche di phishing verso forme di "spear phishing" più automatizzate. Se in passato la personalizzazione richiedeva sforzi manuali considerevoli, oggi gli attaccanti utilizzano script per generare migliaia di link unici che presentano dati veritieri alla vittima. Questo approccio rende obsolete le classiche raccomandazioni basate solo sul controllo della grammatica o della grafica, spostando l'attenzione sulla necessità di verificare sempre l'URL della pagina prima di inserire dati sensibili.

L'efficacia della risposta del CERT-AGID, che ha portato al takedown del sito, dimostra l'importanza del monitoraggio centralizzato delle minacce. Tuttavia, la rapidità con cui queste campagne possono essere replicate su nuovi domini impone un livello di vigilanza costante. Per le aziende private e le PA, comprendere che il proprio brand o i propri accessi sono nel mirino è il primo passo per implementare misure di difesa proattive che vadano oltre la semplice protezione perimetrale dei firewall.

Cosa fare adesso

Le organizzazioni che rientrano nel target descritto dal CERT-AGID devono adottare misure immediate per proteggere i propri account e verificare la sicurezza delle sessioni attive. Di seguito le azioni raccomandate basate sulle evidenze del caso:

  • Verifica degli accessi: Monitorare i log di accesso ai sistemi collegati all'Agenzia delle Entrate-Riscossione per identificare tentativi di login da posizioni geografiche insolite o in orari non lavorativi.
  • Analisi degli Indicatori di Compromissione (IoC): Le strutture IT devono consultare il feed del CERT-AGID e implementare il blocco dei domini e degli indirizzi IP associati a questa specifica campagna di phishing.
  • Istruzione del personale: Informare i dipendenti sulla specifica tecnica della "email precompilata", invitandoli a non inserire mai la password se il campo email appare già popolato dopo un click da una comunicazione esterna.
  • Segnalazione tempestiva: In caso di sospetta compromissione, è fondamentale isolare l'account interessato e procedere al reset immediato delle credenziali SPID attraverso i canali ufficiali del provider di identità.

Oltre a queste misure tecniche, è opportuno ricordare che le comunicazioni ufficiali dell'Agenzia delle Entrate non utilizzano link diretti a pagine di login con parametri di precompilazione dei dati personali. La procedura corretta per l'utente prevede sempre la navigazione autonoma verso il portale ufficiale dell'Agenzia, evitando di seguire collegamenti ipertestuali ricevuti tramite email o messaggistica istantanea, indipendentemente dalla qualità grafica del mittente o del sito di destinazione.

La difesa basata sulla consapevolezza e sul takedown

La conclusione di questa specifica ondata di phishing, grazie all'intervento dell'autorità nazionale, non segna la fine del rischio. La tecnica del brand spoofing ai danni dell'Agenzia delle Entrate è un metodo ricorrente che si adatta ciclicamente alle nuove misure di sicurezza. La lezione principale di questo evento risiede nella vulnerabilità del fattore umano di fronte a interfacce che imitano perfettamente la realtà quotidiana del lavoro amministrativo, come il login SPID.

Per il futuro, la resilienza delle Pubbliche Amministrazioni dipenderà dalla capacità di integrare la difesa tecnica con una cultura della sicurezza diffusa. Il fatto che il CERT-AGID abbia dovuto richiedere la disattivazione del sito ospitante ricorda che la rete è ancora un territorio dove l'offesa può essere rapida e a basso costo, mentre la difesa richiede coordinamento e analisi continua. La protezione delle credenziali istituzionali rimane il pilastro fondamentale per garantire la continuità dei servizi digitali dello Stato.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews