I guai dello SPID di Poste Italiane non sono finiti: pirati informatici hanno creato un sito fake che ruba le credenziali mettendo a rischio privacy e soldi degli utenti, ingannati da SMS che avvisano su presunti malfunzionamenti.
Come denunciato dall’Agenzia per l’Italia digitale (AgID), è in corso una vera e propria campagna di pishing, che poggia su un dominio malevolo appositamente registrato in data 6 ottobre, denominato “aggiornamento-spid.com”, raggiungibile solo da navigazione tramite smatphone o tablet (mobile), e che emula i contenuti della pagina di login di Poste Italiane.
Il sito fake è stato individuato da D3Lab che ha subito segnalato il nome del dominio sospetto quando ancora non presentava contenuti. Da allora l’AgID e in particolare il CERT-AgID, struttura dedicata ai servizi di sicurezza preventivi e attività di accompagnamento utili alle pubbliche amministrazioni, ha attivato il monitoraggio per rilevare gli eventuali cambiamenti e ha quindi provveduto a segnalare il dominio malevolo a Poste e agli utenti.
“Dal monitoraggio e dall’analisi del CERT- AgID – si legge sul sito – si deduce che i destinatari sono gli utenti mobili di Poste e che con buona probabilità [la campagna di pishing] verrà veicolata via SMS e non via email”.
Come troppo spesso accade, quindi alcuni utenti potrebbero essere raggiunti (e magari a qualcuno è già successo) da messaggi che invitano a collegarsi sul sito malevolo, apparentemente identico a quello di Poste Italiane, per risolvere fantomatici malfunzionamenti.
Inserire le credenziali significherà regalarle ai gestori del sito che da quel momento in poi potrebbero autorizzare a nostro nome qualsiasi operazione per cui è richiesto SPID (obbligatorio dal 1 ottobre per diversi istituti della pubblica amministrazione, tra cui l’INPS), tra cui trasferimenti di denaro e cessioni di privacy per le più impensabili operazioni.
Attenzione!
Fonti di riferimento: Agenzia per l’Italia digitale
Leggi anche: Addio PIN dal 1° ottobre: per accedere al sito dell’Inps servirà lo SPID