Da ieri si è venuto a conoscenza di una attività malevola di diffusione malware attraverso il dominio di un sito internet https documenticertificati.com, che agli occhi degli utenti appare come un sito sicuro in quanto autenticato da un certificato di sicurezza e riportante i loghi di AgID e SPID.
Il CERT-PA (Computer Emergency Response Team Pubblica Amministrazione), la struttura preposta al trattamento degli incidenti di sicurezza informatica del dominio costituito dalle pubbliche amministrazioni, ha spiegato in una nota che questo dominio non ha alcun legame con AgID e/o il circuito SPID.
La struttura si è mossa subito per allertare gli utenti sugli effetti dannosi della campagna di diffusione malware attraverso il dominio incriminato, spiegando come avviene l’attacco.
Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin@documenticertificati.com” e veicolata attraverso il servizio “mailjet.com”. La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”. (con XXX personalizzato per il destinatario). Una volta inserite le credenziali, verrà proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.
Una campagna phishing ben organizzata, rafforzata dall’autorevolezza dei loghi dell’Agenda Digitale e del Sistema Pubblico di Identità Digitale e dalla percepita sicurezza del sito https.
Tempo fa su Key4biz avevamo parlato della pericolosità dei siti cosiddetti ‘sicuri’. Secondo i dati di Phishlabs, un quarto di tutti gli attacchi di phishing al giorno d’oggi è effettuato su siti HTTPS (due anni fa si trattava di meno dell’1%). Inoltre, oltre l’80% degli utenti ritiene che la sola presenza di un lucchetto verde e la parola “Sicuro” accanto all’URL indichino un sito sicuro e non ha nessuna remora nell’inserire i propri dati.
Niente di più sbagliato. La presenza di un certificato e di un lucchetto verde indica solamente che i dati trasmessi tra l’utente e il sito sono cifrati e che il certificato è stato emesso da una certification authority affidabile. Ma non impedisce che si possa trattare di un sito dannoso, dettaglio di cui molti cybercriminali si servono per i propri siti di phishing.
Intanto vi consigliamo dei semplici consigli per non cadere nelle trappole: Non digitate mai username, password, credenziali bancarie e qualsiasi altra informazione personale a meno che non siate completamente sicuri della sua autenticità. A tal proposito, verificate sempre il nome di dominio (e con molta attenzione, a volte la differenza tra un nome vero e uno falso è minima, anche di un solo carattere). Chiedetevi sempre cosa offre quel sito in particolare, se ciò che propone sembra sospetto e se davvero avete bisogno di registrarvi e assicuratevi che i vostri dispositivi siano ben protetti.
