Drammatico phishing ai danni di INPS

Nella giornata odierna il monitoraggio dei social network svolto dal team anti-frode D3Lab ha portato all’identificazione di una campagna di phishing ai danni di INPS veicolata attraverso sms malevolo facendo uso di un dominio creato ad-hoc che riprende l’acronimo dell’Istituto Nazionale di Previdenza Sociale.

Il link indicato nell’sms riporta ad un sito malevolo che riproduce la grafica di INPS in cui vengono richiesti, in più pagine, tutti i dati e le copie dei documenti personali idonei a mettere in atto pericolosi furti di identità finalizzati all’uso fraudolento dei conti bancari per la movimentazione di denaro proveniente da altre frodi o per l’attivazione di finanziamenti o richieste di sgravi, benefici, ecc…

È degli indirizzi il lucchetto e la dicitura “https” che da tempo non rappresenta per gli utenti più alcuna sicurezza di leicità del sito visitato.

Il dominio è in hosting su un server portoghese, cosa di cui ci possiamo accorgere con semplici plug-in ed estensioni per il browser, evenienza che deve insospettirci.

Nella prima pagina vengono richiesti i dati anagrafici, codice fiscale, dati di contatto e copia del documento di identità.

Nella seconda pagina, immagine sottostante, è invece richiesta copia della patente di guida.

Nella terza pagina, immagine sottostante, è richiesta copia della tessera sanitaria.

Nella quarta pagina i criminali richiedono documenti che attestino il reddito.

Nella quinta pagina viene infine richiesto l’IBAN.

A rendere drammatica questa campagna è il numero di documenti catturati dai criminali, poco meno di settemila!!!
Considerando che tra fronte e retro dei vari documenti richiesti ogni utente alleghi 10 file si possono considerare almeno 700 vittime.

A seguito dell’individuazione della frode, considerando la gravità della stessa evinta dai numero documenti acquisiti dai criminali, si è data notizia del tutto al Cert Agid.

Data la tipologia di dati richiesti è probabile che l’intento dei criminali sia di usarli per attivare finanziamenti e mutui, si raccomanda di essere diffidenti a fronte di immotivate richieste di dati personali, prestando sempre attenzione al nome dominio dell’ente con cui si pensa di dialogare.