Seleziona una pagina

ARTICOLI

False mail dell’Agenzia delle Entrate offrono un rimborso, ma rubano dati
Di Redazione |
Pubblicato il 23 Aprile 2024
La Polizia Postale segnala anche finti sms dell’Inps che chiedono agli utenti di fornire la tessera sanitaria e un documento d’identità per inesistenti aggiornamenti

Si moltiplicano le truffe fiscali online. Gli hacker distribuiscono spesso file malevoli mascherati da documenti ufficiali. Il fenomeno è talmente diffuso che l’Internal Revenue Service (IRS), il corrispettivo statunitense dell’Agenzia delle Entrate, pubblica ogni anno l’elenco “Dirty Dozen” (la black list della “maledetta dozzina”), in cui vengono descritte le truffe fiscali più diffuse.
L’anno scorso Check Point ha scoperto come ChatGPT sia in grado di creare mail di phishing legate alle tasse. In Italia, ad esempio, è stata segnalata dalla Polizia Postale una truffa relativa alla diffusione da parte di criminali informatici di falsi sms (smishing) dell’INPS in cui viene richiesto l’aggiornamento dei propri dati per impossessarsi dei dati sensibili degli utenti che cadono nella truffa, cliccando il link indicato e allegando copia del documento d’identità, della tessera sanitaria e selfie con il proprio documento per ricevere, ad esempio, un rimborso.
In questo attacco, gli attori della minaccia si spacciano per la stessa Agenzia delle Entrate. In allegato a un’e-mail c’è un Pdf dannoso, con un oggetto del tipo {NOME} dichiarazione annuale delle imposte3x{nome azienda}.pdf. Il file PDF sembra impersonare una corrispondenza ufficiale dell’Agenzia delle Entrate, che informa la vittima che ci sono dei documenti in attesa. Nella parte inferiore del documento è presente un QR Code che indirizza a diversi siti web dannosi. Questi siti sono tutti siti di verifica, alcuni con lo schema 1w7g1[.]unisa0[.]com/6d19/{USEREMAIL}, che ora portano a siti malevoli inattivi.
Il QR Code subisce quello che viene definito instradamento condizionale. In questi attacchi, la richiesta iniziale è simile, ma la catena di reindirizzamento è molto diversa. Il collegamento osserva il luogo in cui l’utente interagisce con esso e si regola di conseguenza. Se l’utente utilizza un Mac, ad esempio, appare un link; se l’utente utilizza un telefono Android, ne appare un altro. L’obiettivo finale è lo stesso: installare il malware sull’endpoint dell’utente finale, sottraendo anche le credenziali. Adattando la destinazione in base al modo in cui l’utente finale vi accede, la percentuale di successo è molto più alta.
In Australia si è invece assistito a una truffa di phishing con una mail apparentemente inviata dall’“ATO Taxation Office”. In realtà, è partita da un indirizzo iCloud. In questa e-mail, l’oggetto è “Rimborso per te – registra i tuoi dati bancari oggi stesso”. L’e-mail guida l’utente al seguente link, hxxp://gnvatmyssll[.]online, dove viene chiesto all’utente di inserire le proprie credenziali.