Nelle ultime settimane l’utilizzo dello SPID (Sistema Pubblico di Identità Digitale) è divenuto sempre più popolare tra gli italiani anche perché l’autenticazione mediante questo sistema di identificazione è semplice e versatile ed è possibile utilizzarla attraverso molteplici dispositivi: purtroppo, però, la popolarità del sistema SPID ha inevitabilmente attratto l’attenzione del crimine informatico e infatti si assiste ad un aumento delle campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.
Indice degli argomenti
Attacchi phishing allo SPID: le campagne ai danni di Poste Italiane
Già in novembre, l’Agenzia per l’Italia Digitale (AGID) ha messo in guardia i cittadini circa i preparativi per una campagna di malware via SMS che prendeva di mira i cittadini che avevano già attivo lo SPID con Poste Italiane.
Al tempo, gli attaccanti avevano registrato il dominio “aggiornamento-spid.com” raggiungibile solo attraverso dispositivi mobili, che riproduceva la pagina di login di Poste Italiane. L’intento era quello di collezionare le credenziali degli utenti mobili di Poste attraverso una campagna di phishing via SMS.
Fortunatamente la campagna fu stroncata sul nascere grazie agli esperti dell’azienda D3Lab che avevano individuato il dominio sospetto prima che gli attori malevoli lo rendessero operativo.
Poco più di due mesi dopo, il CERT-AGID ha diramato un nuovo alert circa una nuova campagna di phishing che prende di mira gli utenti di Poste Italiane ed utilizza lo SPID come esca.
I messaggi utilizzano come oggetto:
Poste Italiane – PosteID abilitato a SPID – Data: 11/12/2020
mentre il corpo dell’e-mail recita:
Ti comunichiamo la modifica delle Condizioni Generali del Servizio di Identità Digitale “PosteID abilitato a SPID” nella nuova versione.
Una volta cliccato sul link, l’utente è indirizzato, dopo alcune ridirezioni, ad una pagina che appare come una copia esatta di una pagina di login del sito di Poste.
I domini fraudolenti utilizzati in questa campagna di phishing individuati dagli esperti del CERT AGID sono:
- “http://mundpdeportivo.for-our[.]info/”
- “http://default-page-poste.is-certified[.]com/serv-cliente/a1b2c3/30edaf01b08cb9fdd9d1171efec2e3e7/login/”,
- “http://default-page-poste.is-certified[.]com/”
- “http://ftr-postepay-cl-fcc.is-certified[.]com/”
Attacchi phishing allo SPID: i rischi
Con l’incremento del numero di servizi che offrono la possibilità di autenticazione SPID aumenteranno le campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.
Questi attacchi possono avere diverse finalità, dalla collezione di informazioni sugli ignari utenti alla distribuzione di codici malevoli sviluppati per rubare dati sensibili come credenziali di accesso ai servizi di home banking.
Gli attacchi potrebbero anche consentire ai criminali informatici di rubare le credenziali SPID previste dal primo livello di sicurezza e di impersonare le vittime. Si ricordi infatti che lo SPID offre tre livelli di sicurezza per l’accesso, ovvero:
- il primo livello attraverso un nome utente e una password scelti dall’utente;
- il secondo livello attraverso nome utente e password più un codice temporaneo di accesso fornito tramite SMS o app;
- il terzo livello, oltre al nome utente e la password, richiede un supporto fisico per l’identificazione, come una smart card.
Nei prossimi mesi, le campagne potrebbero avere carattere interazionale: ricordiamo, infatti, che il sistema SPID è candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014. I cittadini europei in possesso dell’identità SPID potranno utilizzarla per autenticarsi verso i servizi resi disponibili in Rete dalle pubbliche amministrazioni di tutta l’Unione europea. Non solo, anche servizi gestiti da soggetti privati potranno implementare un meccanismo di autenticazione attraverso SPID.
I consigli per difendersi
Per proteggere lo SPID dagli attacchi phishing ed evitare di rimanere vittima di queste campagne malevoli è raccomandato di non cliccare su link contenuti in messaggi non sollecitati che invitano l’utente ad una azione, come premere su un link o aprire un allegato, con carattere d’urgenza.
Fare attenzione all’indirizzo delle pagine sulle quali si inseriscono le proprie credenziali, verificare che i domini siano quelli legittimi non facendosi ingannare dalla eventuale presenza del lucchetto nella barra degli indirizzi.
Sono infatti in aumento campagne di phishing che utilizzano siti HTTPs per mostrare alle vittime pagine disegnate per collezionare le loro credenziali.
