SICUREZZA DIGITALE

Phishing ai danni di Spid e Inps

Nel mirino dei cyber criminali documenti, dati personali e credenziali bancarie degli utenti.

Negli ultimi giorni la società D3lab, agenzia anti-phishing, ha individuato due azioni di phishing tramite Spid e INPS.

In entrambi i casi il CERT-Agid ha intrapreso tutte le misure per contrastare l’attacco. 


Phishing tramite Spid

Questa truffa ha nel mirino gli utenti del Sistema Pubblico di Identità Digitale (SPID) e usa un dominio fake che assomiglia all’originale e può far incappare gli utenti meno attenti, spingendoli a fornire le loro credenziali bancarie.

Gli utenti sono infatti indotti a pensare che, per completare la verifica dell’identità SPID, devono inserire le credenziali bancarie, che una volta digitate vengono rubate dagli autori della truffa, esponendo a rischio la sicurezza finanziaria del malcapitato. 

Sono 11 gli istituti bancari coinvolti: BNP, Credem, Fineco, ING, InBank, Intesa, Mediobanca, Mediolanum, Poste, Sella, Unicredit.

Probabilmente, la campagna di phishing è stata veicolata tramite messaggio di testo (smishing) o via email. 

Ricordiamo che il sito ufficiale del  Sistema Pubblico di Identità Digitale è www.spid.gov.it

Il sito ufficiale del Sistema Pubblico di Identità Digitale (SPID)

Phishing ai danni di INPS

La campagna ai danni dell’Istituto Nazionale di Previdenza Sociale è stata veicolata tramite sms, riportando un dominio fraudolento che riprende l’acronimo INPS.

La grafica del sito malevolo – su cui si atterra cliccando – riproduce la grafica di INPS; qui poi vengono richiesti, in più pagine, dati (dati anagrafici, codice fiscale, dati di contatto) e le copie di documenti personali, utili a mettere in atto diversi tipi di truffe: dal furto di identità a frodi finanziarie. 

Nello specifico i documenti richiesti sono:

  • copia di documento di identità;
  • copia della patente di guida;
  • copia della tessera sanitaria;
  • documenti che attestano il reddito;
  • IBAN.

In generale quindi è bene prestare sempre molta attenzione quando arrivano richieste immotivate di inserimento di dati di qualsiasi tipo. Soprattutto se queste richieste passano da un link arrivato tramite sms o email.

Back to top button