Phishing Equitalia …caccia alle credenziali di login

struttura pagina di phishing

Il nome Equitalia non rappresenta un novità in ambito phishing, più volte negli ultimi due anni i criminali hanno confezionato false mail apparentemente inviate da questa SpA sotto totale controllo pubblico operante nella riscossione tributi sulla quasi totalità del territorio nazionale.

Sino ad ora il phishing a marchio Equitalia era stato sfruttato dai criminali principalmente per la diffusione di malware. Tuttavia il 13 Luglio si è assistito alla diffusione di una classica mail di phishing finalizzata non alla diffusione di malware ma alla raccolta delle credenziali di login per l’accesso al servizio Equitalia.

Mail di phishing Equitalia

La mail fraudolenta, che sembrerebbe partita  da un indirizzo ip tedesco, presenta le seguenti caratteristiche:

Oggetto: COMUNICAZIONE URGENTE : RACCOMANDATA NR 273284452/16 PROCEDIMENTO AMMINISTRATIVO

Mittente apparente: EQUITALIA <[email protected]>

Corpo del messaggio:
EQUITALIA COMUNICAZIONE URGENTE:
RACCOMANDATA NR 273284452/16 PROCEDIMENTO AMMINISTRATIVO SANZIONATORI NR 5821712/16 DEL 08/07/2016
ACCEDI ALLA SEZIONE AUTORIZZATA POSTACERT DI POSTE ITALIANE E SCARICA IL FILE ALLEGATO
DISTINTI SALUTI EQUITALIA

Allegato: RACCOMANDATA-NR-273284452.html

L’allegato html è un po’ la sintesi di una delle metodiche di phishing tra le maggiormente impiegate nell’ultimo anno:

struttura pagina di phishing

L’impiego di una pagina con frame, che l’utente apre in locale sul proprio pc essendo allegata alla mail, abbinata ad un url realizzato facendo uso di uno dei tanti servizi di short url, nel caso specifico is.gd.

Lo short url consente al frame di trarre la propria sorgente da una pagina web inserita nel sito web di un dominio piuttosto recente, essendo stato creato il 19 maggio 2016, fatto che lascia ipotizzare che non si tratti di un sito web compromesso ma ben sì di una struttura realizzata ad hoc dai criminali.

Il funzionamento del phishing, che richiede agli utenti solo username e passwrod, sembrerebbe suggerire (unitamente al testo della mail) che i criminali intendano accedere agli account attraverso il sistema di autenticazione SPID, nella fattispecie attraverso il sistema specificamente allestito da Poste Italiane.

sistema autenticazione SPID

Rilievi effettuati sembrerebbero indicare che oltre 250 persone hanno inserito credenziali plausibili nelle pagine di phishing.