Redazione RHC : 2 Maggio 2025 15:19
Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente da PagoPA. L’obiettivo è convincere l’utente a cliccare su un link fraudolento e inserire i propri dati di pagamento, con la scusa di saldare una sanzione.
In questo articolo analizziamo cosa è importante non fare quando si riceve un’email di questo tipo, per capire come molte truffe online sfruttino l’urgenza e la credibilità di marchi noti al fine di ottenere un vantaggio economico.
L’email in questione arriva da un mittente apparentemente legittimo, ma con un dominio sospetto: [email protected]
. Intanto un dominio di origine tedesca dovrebbe far subito pensare che si tratti di una truffa. Le email ufficiali solitamente pervengono dal dominio gov.it Il contenuto della comunicazione cerca di replicare lo stile formale delle notifiche ufficiali, con messaggi intimidatori come:
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:Creare Un Sistema Ai Di Visual Object Tracking (Hands on) Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy? Come Hackerare Un Sito WordPress (Hands on) Il Cyberbullismo Tra Virtuale E Reale Come Entrare Nel Dark Web In Sicurezza (Hands on)
Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765Supporta RHC attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“La preghiamo di prendere nota che, in caso di mancato pagamento entro la fine della giornata odierna, l’importo totale sarà automaticamente aggiornato a 500 €.”
Un’altra tecnica psicologica è l’urgenza: la scadenza è fissata per il giorno stesso della ricezione, inducendo panico e reazioni impulsive. Pertanto:
[email protected]
. PagoPA avvengono da domini istituzionali come @pagopa.gov.it
.Cosa fare se ricevi questa email?
Il team di Red Hot Cyber ha analizzato l’email sospetta all’interno di un ambiente sicuro, utilizzando una sandbox, ovvero una macchina virtuale isolata dal sistema reale, che consente di analizzare contenuti potenzialmente pericolosi senza rischi per il computer o la rete.
Al primo tentativo, cliccando sul link presente nell’email, abbiamo osservato una serie di redirect automatici: sorprendentemente, il collegamento sembrava concludersi sul sito ufficiale di PagoPA, un’astuzia probabilmente pensata per aumentare la fiducia della vittima e ridurre i sospetti.
Abbiamo quindi analizzato l’URL tramite VirusTotal, una piattaforma che verifica la reputazione dei link attraverso decine di motori antivirus. Il risultato? Tre antivirus lo identificavano chiaramente come malevolo.
Effettuando ulteriori test — e questa volta utilizzando Tor per anonimizzare la navigazione e accedere eventualmente a contenuti geolocalizzati o camuffati — siamo riusciti ad accedere al vero sito fraudolento.
Una volta atterrati sul sito clone, ci è stato chiesto di compilare un modulo con i nostri dati anagrafici, dopodiché il sito richiede di inserire:
Non è finita. Dopo l’inserimento dei dati della carta, il sito richiede anche:
In questo modo, il criminale informatico ottiene tutti i codici necessari per svuotare la carta di credito: dati personali, dati bancari, codice di sicurezza e persino il secondo fattore di autenticazione.
Una volta in possesso di queste informazioni, il truffatore può effettuare prelievi e transazioni fino al totale prosciugamento del plafond disponibile sulla carta.
Abbiamo contattato il CER-AgID per ottenere maggiori informazioni su questa campagna malevola. Ci è stato confermato che l’attacco utilizza una lunga catena di redirect, che parte da domini come https://qr-code.click e https://scanned.page, per poi reindirizzare l’utente verso la vera e propria pagina di phishing.
Durante questo processo, vengono effettuati controlli sul browser utilizzato, sull’indirizzo IP e su altri parametri ambientali. Probabilmente, durante il nostro primo tentativo di analisi, il sistema ha impedito il reindirizzamento completo verso il sito malevolo perché il nostro indirizzo IP risultava presente in una blacklist, impedendo così l’accesso alla pagina finale della truffa.
Da quanto ci ha riportato il CERT-AgID (che ha anche emesso in precedenza un avviso su tale campagna), i criminali informatici creano ogni giorno moltissime pagine (ad esempio quella sulla quale siamo atterrati noi è stata creata in data 28 di Aprile scorso) e i C2 sono spesso residenti su Telegram.
Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006