Phishing Agenzia delle Entrate: clone SPID con email precompilata
Il CERT-AGID rileva una campagna di phishing contro l'Agenzia delle Entrate che utilizza un falso login SPID precompilato per colpire Pubbliche Amministrazioni.
Contenuto
Phishing Agenzia delle Entrate: clone SPID con email precompilata Il CERT-AGID ha rilevato e contrastato una campagna di phishing contro l'Agenzia delle Entrate–Riscossione che utilizza un falso login SPID con logo AgID e precompilazione dell'email della vittima. L'attacco è esplicitamente mirato a Pubbliche Amministrazioni e aziende private. La tecnica di personalizzazione del link riduce l'attrito percettivo, indirizzando l'utente verso l'inserimento immediato della password senza richiedere l'inserimento manuale del proprio indirizzo email.
Il meccanismo del clone: come funziona la trappola
La pagina di phishing replica con precisione l'interfaccia di autenticazione SPID dell'Agenzia delle Entrate. Il CERT-AGID ha documentato che la schermata fraudolenta riporta il logo di AgID, l'Agenzia per l'Italia Digitale, elemento che rafforza la credibilità percepita dall'utente. La riproduzione visiva del portale ufficiale costituisce una forma di brandjacking mirato: l'abuso dell'identità visiva di un ente governativo non coinvolto nell'attacco, ma la cui presenza normalizza l'operazione agli occhi della vittima. Il dettaglio tecnico più rilevante riguarda la personalizzazione del link malevolo. L'indirizzo email della vittima è precompilato nella pagina di phishing grazie a parametri incorporati nell'URL ricevuto. Questa configurazione modifica radicalmente il flusso d'interazione: l'utente non deve inserire il proprio identificativo, ma solo la password. La riduzione del numero di campi da compilare abbassa la soglia di attenzione e accelera il completamento dell'azione, minimizzando le occasioni di rilevamento dell'anomalia. La campagna si distingue dalla proliferazione ordinaria di tentativi di phishing fiscali per la qualità della preparazione e per il targeting dichiarato. Non si tratta di distribuzione indiscriminata tramite liste di contatti acquisite in modo opaco, ma di un'operazione con direzione preferenziale verso enti pubblici. Questa specificità suggerisce una fase di ricognizione preliminare da parte degli attaccanti per isolare bersagli istituzionali e aziendali.Il targeting PA: perché le amministrazioni sono nel mirino
"Ciò che distingue questa campagna da altre precedenti è che è particolarmente mirata a Pubbliche Amministrazioni, oltre che ad aziende private." — CERT-AGIDLe Pubbliche Amministrazioni rappresentano obiettivi ad alto valore per attacchi alle credenziali per ragioni strutturali. L'accesso a posta elettronica istituzionale, a sistemi di protocollo e a banche dati interne consente movimenti laterali significativi una volta compromesse le credenziali iniziali. Inoltre, la molteplicità di servizi digitali accessibili tramite un unico set di credenziali SPID amplifica drasticamente il raggio d'azione di un singolo furto di identità digitale. Il CERT-AGID non ha specificato la modalità di raccolta degli indirizzi email istituzionali utilizzati per la precompilazione. Rimane ignoto se gli indirizzi provengano da breach pregressi o tecniche di scraping sistematico. Questa lacuna è rilevante perché condiziona la valutazione della preparazione dell'attore: la disponibilità di indirizzi verificati e attivi indica capacità di ricognizione non banali. L'efficacia della campagna poggia proprio sulla veridicità dei dati pre-inseriti nel modulo di login. La concentrazione del targeting sul settore pubblico solleva questioni sulla protezione degli account istituzionali. Sebbene nessuna attribuzione a gruppi specifici sia stata formulata, l'operazione mostra una volontà di infiltrare perimetri normati e protetti. L'assenza di attribuzione pubblica impedisce di collocare l'operazione all'interno di scenari di minaccia più ampi, ma conferma la vulnerabilità del fattore umano in contesti amministrativi ad alta operatività digitale.
Cosa rende efficace la precompilazione dell'email
"La pagina web fraudolenta presenta agli utenti una falsa schermata di accesso all'area riservata dell'Agenzia delle Entrate che simula il vero modulo di login tramite SPID, riportando anche il logo di AgID." — CERT-AGID La personalizzazione del link trasforma un attacco generico in un'esperienza apparentemente legittima. L'utente che riceve la comunicazione trova un URL che presenta già il proprio indirizzo email nel campo corrispondente. Come documenta il CERT-AGID: "l'indirizzo email della vittima è già precompilato grazie alla personalizzazione del link". Questo elemento sfrutta la conferma di familiarità (il sistema conosce il mio indirizzo) e la riduzione del carico cognitivo (un campo in meno da compilare). Il risultato è un'abbreviazione del percorso decisionale che porta all'inserimento della password. In contesti lavorativi con elevato volume di comunicazioni, questa ottimizzazione dell'interfaccia malevola può superare le difese attenzionali anche di utenti esperti. La precompilazione funge da ancoraggio di autenticità che neutralizza i segnali di allarme associati a richieste di autenticazione inaspettate, rendendo l'attacco fluido e coerente con la normale operatività dell'utente. Tecnicamente, la personalizzazione del link richiede che l'indirizzo email sia codificato come parametro GET prima della distribuzione del messaggio. Questa architettura implica che ogni destinatario riceva un URL potenzialmente unico, rendendo più complessa la rilevazione basata su pattern statici da parte di sistemi di filtraggio. L'automazione di questo processo permette di scalare l'attacco pur mantenendo un alto livello di personalizzazione per ogni singola vittima designata.Cosa fare adesso
Le strutture accreditate al feed del CERT-AGID hanno ricevuto gli Indicatori di Compromissione relativi alla campagna. Per le amministrazioni e le aziende che gestiscono accessi SPID, queste azioni sono prioritarie: Verificare l'integrazione con il feed IoC del CERT-AGID. La disponibilità degli indicatori consente di implementare blocchi preventivi su proxy e gateway email. La protezione basata su IoC resta la linea di difesa più rapida per interrompere la catena di infezione. Addestrare il personale al riconoscimento di login precompilati. Una pagina di accesso che presenta l'indirizzo email senza precedente inserimento manuale deve essere trattata come anomalia. Questa inversione di interpretazione è critica: la precompilazione non è prova di legittimità, ma potenziale segnale di un link manipolato. Implementare l'autenticazione a più fattori (MFA). Il furto della sola password non deve consentire l'accesso al servizio. La verifica della configurazione MFA sui servizi istituzionali deve essere garantita per neutralizzare l'efficacia delle credenziali sottratte tramite phishing. Riallineare le procedure di risposta agli alert. Le amministrazioni devono assicurare che i canali di segnalazione interna siano pronti a gestire sospetti di compromissione. La tempestività nel reset delle credenziali è l'unico modo per limitare i danni dopo un inserimento di password su siti malevoli.Limiti del rilevamento e incognite aperte
Il brief operativo del CERT-AGID non fornisce elementi temporali precisi sulla data di inizio o sulla volumetria delle email distribuite. Questa indeterminatezza impedisce di stimare l'impatto reale della campagna sul territorio nazionale. Non è dichiarato il numero di enti effettivamente contattati, né il tasso di successo dell'attacco. L'eventuale compromissione di sistemi o dati sensibili non è confermata, lasciando aperta la valutazione del danno. Il CERT-AGID ha avvisato l'Ente e richiesto la disattivazione del sito ospitante, ma lo stato attuale del dominio non è specificato. Il sito potrebbe essere già oscurato o ancora attivo su infrastrutture resistenti ai takedown. La mancanza di dati sull'origine degli indirizzi email utilizzati per la precompilazione resta un punto critico per comprendere se l'attore stia sfruttando database di dipendenti pubblici già esposti in precedenza.Perché questo schema minaccia di ripetersi
La combinazione di brandjacking, precompilazione di credenziali parziali e targeting verso la Pubblica Amministrazione costituisce un modello economico vincente. L'investimento nella preparazione di queste pagine personalizzate suggerisce che il rapporto costo-beneficio per l'attore sia favorevole, probabilmente basato sul valore elevato delle credenziali che permettono l'accesso a servizi istituzionali critici. La dipendenza funzionale dai servizi digitali centralizzati tramite SPID aumenta la superficie di attacco. Una singola credenziale compromessa può aprire molteplici varchi. La precompilazione dell'email sfrutta questa centralità, presentando un'interfaccia che ricalca l'esperienza quotidiana di milioni di utenti. La resilienza futura dipenderà dalla capacità di separare la familiarità estetica dalla sicurezza tecnica. In conclusione, la campagna documentata mostra come il phishing stia evolvendo verso un'ingegnerizzazione dell'interfaccia che ne aumenta la pericolosità. Per le amministrazioni, il problema non è più solo filtrare comunicazioni evidentemente sospette, ma costruire difese contro esperienze di autenticazione quasi indistinguibili da quelle legittime. La resilienza dipende sempre più da procedure tecniche rigorose e da una cultura della sicurezza che non confonda la comodità della precompilazione con l'affidabilità della fonte.Domande frequenti
AgID è stata compromessa in questa campagna?
No. Il logo di AgID è stato abusato sulla pagina di phishing per aumentare la credibilità percepita. Non risulta alcuna violazione o compromissione dei sistemi reali di AgID.Come fa il link a precompilare la mia email istituzionale?
L'indirizzo email è inserito come parametro nell'URL del link malevolo. Quando la vittima clicca sul link, lo script della pagina fraudolenta legge il parametro e popola automaticamente il campo di login.È stato rubato qualche dato a seguito di questo attacco?
Il CERT-AGID non ha confermato la compromissione effettiva di account. Sono state documentate le caratteristiche tecniche della minaccia e avviate le procedure di contrasto per prevenire ulteriori sottrazioni di credenziali.Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.