Campagna Phishing “Rimborso canone Rai”

02/05/2019

canone rai phishing PP.AA.

Il CERT-PA è venuto a conoscenza nella giornata odierna di una campagna di phishing indirizzata verso caselle email di Pubbliche Amministrazioni e probabilmente anche verso società private, volta a sottrarre credenziali di carte di credito di privati cittadini. Le false e-mail sembrano provenire dall’Assistenza servizi telematici dell’Agenzia delle Entrate, ma in realtà sono inviate da un indirizzo contraffatto non riconducibile all’Agenzia.

I contenuti della mail sono simili a quella di una precedente campagna segnalata dalla stessa Agenzia delle Entrate con il Comunicato stampa del 21 agosto 2018:

 

L’oggetto della mail stavolta è “Richiesta di rimborso del canone TV addebitato nelle fatture elettriche”, mentre il Riferimento varia solo di un numero (RAI–A8001W, A8005W…).

Nel corpo del testo si invita l’utente a procedere con la richiesta di rimborso ma in realtà il link punta alla pagina fraudolenta www[.]area-inviotelematico[.]info/caricamento/in_corso/attendi/attendi[.]html che dall’analisi dell’html risulterebbe un semplice reindirizzamento verso un’altra URL che conduce a una pagina di “Caricamento in corso”:


<meta http-equiv="Refresh" content="0; URL=http://www[.]area-inviotelematico[.]info/richieste/2019/https/rimborso/canone_rai/www.agenziaentrate.it/Connessione_incorso.html">

Dopo un’attesa di 2 secondi la pagina di caricamento scompare e al suo posto viene visualizzata quella definitiva, contenente la form di inserimento dati:


<meta http-equiv="refresh" content="2; URL=http://www[.]richieste-telematiche[.]info/area/https/canone_rai/www.agenziaentrate.it/Richiesta_incorso">

La form, realizzata sfruttando loghi prelevati da siti legittimi, invita l’utente a inserire i suoi dati anagrafici e quelli della carta di credito su cui ottenere il fantomatico rimborso di euro 14,90 (importo identico a quello della precedente campagna).

Il CERT-PA consiglia di cestinare questi messaggi, non cliccare sui collegamenti presenti e, soprattutto, non fornire i propri dati anagrafici e gli estremi della propria carta di credito nella pagina web indicata nella mail.

Indicatori di Compromissione

Si riportano di seguito gli IoC rilevati dall’analisi della campagna.

  • IoC (.txt) – File globale :   Domini, URL