Gli hacker usano SPID per rubare l'identità, attenzione alla nuova truffa
C’è una nuova campagna phishing legata allo SPID che ha l’obiettivo di sottrarre credenziali di accesso e dati biometrici degli utenti per rubare loro l’identità
Il CERT-AgID, l’organismo preposto alla sicurezza informatica della Pubblica Amministrazione italiana, ha individuato e bloccato una nuova campagna di phishing mirata agli utenti SPID. Una truffa estremamente sofisticata che tramite un sito web simile a quelli ufficiali cercava di sottrarre credenziali e dati biometrici come video del volto, che potevano essere utilizzati dai malintenzionati digitali per rubare l’identità degli utenti.
Cosa sappiamo della nuova truffa della SPID
La nuova truffa dello SPID iniziava con l’invio di e-mail apparentemente legittime, studiate appositamente per indurre le vittime a credere che fosse necessario un aggiornamento della propria identità digitale per evitare la sospensione del servizio. Questi messaggi contenevano un link che reindirizzava gli utenti a un dominio fraudolento che, nel giro di pochissimi giorni ha ingannato migliaia di persone.
Il sito falso era stato realizzato con estrema cura, imitando fedelmente la grafica e il layout dei portali ufficiali, inclusi intestazioni e loghi dell’Agenzia per l’Italia Digitale (AgID); tutti dettagli che rendevano ancora più complessa l’identificazione della truffa.
Una volta approdati sul sito, gli utenti venivano guidati attraverso una serie di passaggi per rubare le varie informazioni sensibili come le proprie credenziali SPID. Successivamente, le vittime erano invitate a caricare immagini del proprio documento d’identità e a registrare un video in tempo reale del proprio volto.
Come già anticipato, l’obiettivo di questa strategia era raccogliere una combinazione di dati personali (credenziali, documenti) e biometrici (video del volto) per creare false identità digitali da utilizzare in svariate attività fraudolente come l’accesso ai portali della Pubblica Amministrazione e a quelli degli istituti di pagamento, oppure l’intestazione di nuove SIM o linee telefoniche da usare per altre truffe.
Come proteggersi dalla truffa dello SPID
Il CERT-AgID ha agito con estrema rapidità, disattivando immediatamente il dominio malevolo e mettendo in guardia le strutture accreditate, per facilitare il rilevamento e il blocco di eventuali ulteriori tentativi legati a questa campagna.
Nonostante questo, però, le autorità invitano tutti i cittadini a fare attenzione, ricordando che bisogna sempre diffidare di e-mail sospette che richiedono più o meno esplicitamente dati personali o credenziali.
In caso di dubbi sulla legittimità di un’e-mail, è consigliabile inoltrarla all’indirizzo malware@cert-agid.gov.it, ricordandosi comunque che AgID e qualsiasi altro ente non richiederà mai l’invio di documenti o credenziali via e-mail.
Per qualsiasi aggiornamento dell’identità digitale, infatti, è necessario accedere direttamente all’area personale del proprio provider SPID, digitando l’indirizzo del sito nella barra del browser o utilizzando i canali ufficiali.
Questa truffa così sofisticata riaccende il dibattito sull’evoluzione del sistema d’identità digitale italiano e, nonostante l’ormai vasta diffusione dello SPID, secondo alcuni questo sistema potrebbe avere diversi limiti ed è destinato a lasciare il passo alla Carta d’Identità Elettronica (CIE), ritenuto un sistema molto più sicuro per l’identificazione digitale dei cittadini in Italia.
