Da alcuni giorni, si registra un incremento significativo di campagne di phishing che impersonano operatori logistici e istituzioni pubbliche. In particolare, stanno circolando email fraudolente a nome DHL e messaggi, anche via PEC, che simulano comunicazioni di pagoPA e Agenzia delle Entrate.
L’analisi di due casi concreti evidenzia tecniche consolidate di ingegneria sociale e compromissione delle infrastrutture di posta.
Le campagne che sfruttano il brand DHL seguono uno schema ormai standardizzato. Da un’attenta analisi dell’email, si evidenzia che il Mittente non è allineato, ed il dominio, non appartenente a DHL, con un link che rimanda ad una pagina esterna per “conferma indirizzo”
Altra caratteristica che pone attenzione è la richiesta di un importo minimo, tipicamente meno di 5 €. Molte volte, se si clicca sul link si apre una pagina clonata diretta alla raccolta di dati anagrafici, credenziali, dati carta di pagamento, con la possibile attivazione di transazioni fraudolente o, semplicemente, ottenere un furto d’identità. L’importo ridotto (es. 2,95 €) abbassa le difese cognitive dell’utente, aumentando il tasso di conversione dell’attacco. Più sofisticata è la campagna che sfrutta la Posta Elettronica Certificata (PEC) ed il marchio PagoPa/Agenzia Entrate per aumentare la credibilità del messaggio. La prima “red flag” è il mittente anomalo: dominio non istituzionale (es. non appartenente a agenziaentrate.gov.it o pagopa.it). Altro indice di phishing è la “mass mailing” ossia la presenza di centinaia di destinatari in CC. E’ impossibile che lo stesso rimborso tasse sia diretto a più persone oltre il destinatario e, comunque, il rimborso non necessita di utilizzo di PagoPa o altre piattaforme. La PEC introduce un falso senso di sicurezza: anche se il canale è certificato, il contenuto può essere fraudolento e rimandare a siti clone per rubare dati anagrafici, password e dati bancari. Nonostante le differenze, entrambe sfruttano:
*Brand impersonation (DHL, Agenzia Entrate, pagoPA)
*Social engineering (urgenza, azione immediata)
*Infrastructure abuse (domini esterni, PEC compromesse)
*Credential harvesting come obiettivo primario
In conclusione, questa nuova ondata di email-pec dimostra un’evoluzione del phishing verso modelli sempre più credibili e multi-canale.
Dalla simulazione di servizi logistici fino all’abuso di infrastrutture certificate come la PEC, gli attaccanti puntano a ridurre al minimo i segnali di sospetto. In questo contesto, la difesa più efficace resta una combinazione di controlli tecnici, consapevolezza dell’utente e verifica sistematica delle fonti, oltre che restare aggiornati tramite i siti istituzionali della Polizia Postale, dell’Agenzia per l’Italia Digitale e e dell’Agenzia delle Entrate.
