L’Agenzia delle Entrate ha segnalato una nuova e sofisticata campagna di phishing che sfrutta il nome di enti istituzionali come la stessa Agenzia delle Entrate, ma anche l’AgID, per sottrarre credenziali di accesso agli utenti.
La particolarità di questa minaccia risiede non solo nella qualità delle email fraudolente, ma anche in una tecnica che aggira i sistemi antispam, rendendola particolarmente insidiosa.
La campagna si basa su un meccanismo ribattezzato “dei tre messaggi”. A causa di un bug nei sistemi di filtraggio delle email, i primi tre tentativi di invio vengono intercettati e classificati come spam. Tuttavia, a partire dal quarto invio, il messaggio può riuscire a superare i controlli e arrivare direttamente nella casella di posta dell’utente. Gli attaccanti sfruttano questo comportamento inviando ripetutamente lo stesso messaggio fino a quando uno riesce a bypassare i filtri di sicurezza.
Le email fraudolente si distinguono per:
-Grafica curata e professionale
-Linguaggio formale e verosimile
-Uso di un display name ingannevole, che può far credere che il mittente sia istituzionale
Tuttavia, osservando con attenzione emergono segnali evidenti di truffa:
-Il dominio del mittente (es. @propiski.com) non è riconducibile agli enti ufficiali
-I link presenti nel messaggio rimandano a siti esterni sospetti (ad esempio sushicool.net), completamente estranei ai portali istituzionali
Cliccando sul link contenuto nell’email, la vittima viene indirizzata a una falsa pagina di login:
-Riproduce il logo e lo stile grafico di AgID;
-Simula l’accesso tramite SPID;
-Presenta un’interfaccia convincente per indurre fiducia.
Una volta inserite le credenziali e premuto il pulsante “Prosegui”, i dati vengono inviati ai malintenzionati.
A questo punto, l’utente viene reindirizzato al sito reale di Agenzia delle Entrate o AdER e compare un errore simulato, per far credere a un semplice malfunzionamento. Questa tecnica serve a nascondere il furto e ritardare la consapevolezza della vittima. Le conseguenze possono essere gravi poichè i malintenzionati possono avere accesso non autorizzato alla casella email, compromettere l’identità digitale (SPID) ma anche effettuare frodi fiscali o furti di dati personali. Inoltre, una casella email violata può essere utilizzata per attacchi a catena verso altri contatti. Per proteggersi da questa minaccia è fondamentale adottare alcune precauzioni: verificare sempre il mittente; controllare attentamente il dominio email; non cliccare su link sospetti; accedere ai servizi solo digitando manualmente l’indirizzo ufficiale. Inoltre, l’Agenzia delle Entrate raccomanda di diffidare dei messaggi urgenti o allarmanti, controllare l’URL delle pagine di login prima di inserire dati, attivare l’autenticazione a due fattori (2FA); cestinare, immediatamente, email sospette e consultare la sezione “Focus sul phishing” sul sito ufficiale. In caso di ulteriori dubbi contattare direttamente gli uffici competenti e/o la polizia postale. Questa campagna dimostra quanto il phishing stia diventando sempre più sofisticato, combinando tecniche (come lo sfruttamento di bug nei filtri antispam) e ingegneria sociale avanzata. La difesa più efficace resta la consapevolezza dell’utente: riconoscere i segnali di pericolo è il primo passo per evitare di cadere nella trappola!