Evento di phishing a danno di utenze della pubblica amministrazione

17/10/2018

italia phishing PP.AA.

In data odierna, tramite attività di condivisione informazioni, il CERT-PA ha avuto evidenza di un evento di phishing massivo che, a partire dalla mattinata, ha coinvolto un’importante Ente pubblico.

Il caso in oggetto è caratterizzato dall’invio di almeno due tipologie di messaggi, aventi differente oggetto ma identico corpo. Come di seguito rappresentato l’utente viene invitato, tramite un collegamento (CLICCA QUI), a visitare un servizio o pagina web per fantomatiche operazioni di gestione associate all’account in uso:

Caso 1

Caso 2

Tipologie di phishing che utilizzano termini simili sono già emersi nel recente passato, in questo specifico caso si rilevano le seguenti peculiarità:

  • l’utilizzo di una casella istituzionale (dominio di terzo livello) definito su gov.it,
  • distinti invii massivi dalla stessa casella,
  • medesimo dominio\url e pagina di phishing,
  • pagina di phishing predisposta ad hoc per colpire trasversalmente più entità
  • utilizzo di loghi di prodotti di posta tra i più comuni oltre a quello del Governo Italiano,
  • dominio che ospita la pagina definito con riferimenti ad un comune Italiano:

Di seguito l’immagine estratta dalla pagina web utilizzata per il phishing:


Indicatori di compromissione

Soggetto: Aggiornamento della password del servizio IT ADMIN

Url phishing:  peccomunenettunoromait[.]co.nf

Il CERT-PA ha allertato il contatto “Abuse” del provider estero al fine di interrompere l’erogazione del servizio web quindi informato l’Ente di riferimento per avviare le opportune azioni di contrasto.


Aggiornamento del 18-10-2018

In relazione al caso in oggetto si informa che la campagna di phishing utilizza aggiuntive pagine web, predisposte con loghi ad hoc, per colpire Enti specifici.

In seguito alle verifiche ed attività di info-sharing è in tal senso emerso un ulteriore pagina web, ad ora attiva, e raggiungibile al seguente link:

  • hxxp://ssanitait1247857.co.nf/

Di seguito la pagina con il fantomatico “Modulo di aggiornamento” finalizzata alla cattura di credenziali dell’utente:

Il CERT-PA ha notificato il nuovo indirizzo all’Abuse dell’ISP di pertinenza, tuttavia si consiglia di provvedere ad informare l’utenza sulla campagna in atto, quindi a valutare opportuni blocchi della navigazione per gli specifici indirizzi o per la zona di nome a dominio (*.co.nf) che fornisce un servizio di registrazione gratuito per domini di 3° livello.