Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attenti italiani! Una Finta Multa da pagare tramite PagoPA vuole svuotarti il conto

Redazione RHC : 2 Maggio 2025 15:19

Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente da PagoPA. L’obiettivo è convincere l’utente a cliccare su un link fraudolento e inserire i propri dati di pagamento, con la scusa di saldare una sanzione.

In questo articolo analizziamo cosa è importante non fare quando si riceve un’email di questo tipo, per capire come molte truffe online sfruttino l’urgenza e la credibilità di marchi noti al fine di ottenere un vantaggio economico.

Email fake di PagoPA arrivata alla redazione di Red Hot Cyber

“Evita la maggiorazione: paga adesso”. Scopriamo perché è una truffa

L’email in questione arriva da un mittente apparentemente legittimo, ma con un dominio sospetto: [email protected]. Intanto un dominio di origine tedesca dovrebbe far subito pensare che si tratti di una truffa. Le email ufficiali solitamente pervengono dal dominio gov.it Il contenuto della comunicazione cerca di replicare lo stile formale delle notifiche ufficiali, con messaggi intimidatori come:


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


“La preghiamo di prendere nota che, in caso di mancato pagamento entro la fine della giornata odierna, l’importo totale sarà automaticamente aggiornato a 500 €.”

Un’altra tecnica psicologica è l’urgenza: la scadenza è fissata per il giorno stesso della ricezione, inducendo panico e reazioni impulsive. Pertanto:

  • Email sospetta: le comunicazioni sono avvenute dall’email [email protected]. PagoPA avvengono da domini istituzionali come @pagopa.gov.it.
  • Assenza di destinatario specifico: si usa “Gentile proprietario/a del veicolo”, un modo generico per colpire più vittime.
  • Minacce e urgenze: è una tecnica comune nel phishing per spingere l’utente all’azione.
  • Link truffaldini: il link “Accedi al Pagamento Online” porta quasi certamente a una pagina clone creata per rubare i dati della carta.

Cosa fare se ricevi questa email?

  1. Per prima cosa aumenta l’attenzione
  2. Non cliccare sul link.
  3. Segnala l’email come phishing nel tuo client di posta.
  4. Verifica eventuali multe reali solo tramite i portali ufficiali (come il sito del Comune o il portale ufficiale di PagoPA).
  5. Avvisa amici e parenti, in particolare quelli meno esperti di tecnologia.

L’analisi tecnica di Red Hot Cyber: cosa si cela dietro il link

Il team di Red Hot Cyber ha analizzato l’email sospetta all’interno di un ambiente sicuro, utilizzando una sandbox, ovvero una macchina virtuale isolata dal sistema reale, che consente di analizzare contenuti potenzialmente pericolosi senza rischi per il computer o la rete.

Al primo tentativo, cliccando sul link presente nell’email, abbiamo osservato una serie di redirect automatici: sorprendentemente, il collegamento sembrava concludersi sul sito ufficiale di PagoPA, un’astuzia probabilmente pensata per aumentare la fiducia della vittima e ridurre i sospetti.

Abbiamo quindi analizzato l’URL tramite VirusTotal, una piattaforma che verifica la reputazione dei link attraverso decine di motori antivirus. Il risultato? Tre antivirus lo identificavano chiaramente come malevolo.

schermata che etichetta il link presente nell’email come malevolo www.virustotal.com

Effettuando ulteriori test — e questa volta utilizzando Tor per anonimizzare la navigazione e accedere eventualmente a contenuti geolocalizzati o camuffati — siamo riusciti ad accedere al vero sito fraudolento.

Come funziona la truffa

Una volta atterrati sul sito clone, ci è stato chiesto di compilare un modulo con i nostri dati anagrafici, dopodiché il sito richiede di inserire:

  • Numero della carta di credito
  • Data di scadenza
  • Codice CVV

Non è finita. Dopo l’inserimento dei dati della carta, il sito richiede anche:

  • Codice SMS (OTP) ricevuto via banca
  • PIN della carta

In questo modo, il criminale informatico ottiene tutti i codici necessari per svuotare la carta di credito: dati personali, dati bancari, codice di sicurezza e persino il secondo fattore di autenticazione.

Una volta in possesso di queste informazioni, il truffatore può effettuare prelievi e transazioni fino al totale prosciugamento del plafond disponibile sulla carta.

Abbiamo contattato il CER-AgID per ottenere maggiori informazioni su questa campagna malevola. Ci è stato confermato che l’attacco utilizza una lunga catena di redirect, che parte da domini come https://qr-code.click e https://scanned.page, per poi reindirizzare l’utente verso la vera e propria pagina di phishing.

Durante questo processo, vengono effettuati controlli sul browser utilizzato, sull’indirizzo IP e su altri parametri ambientali. Probabilmente, durante il nostro primo tentativo di analisi, il sistema ha impedito il reindirizzamento completo verso il sito malevolo perché il nostro indirizzo IP risultava presente in una blacklist, impedendo così l’accesso alla pagina finale della truffa.

Da quanto ci ha riportato il CERT-AgID (che ha anche emesso in precedenza un avviso su tale campagna), i criminali informatici creano ogni giorno moltissime pagine (ad esempio quella sulla quale siamo atterrati noi è stata creata in data 28 di Aprile scorso) e i C2 sono spesso residenti su Telegram.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

La nuova ondata su Microsoft SharePoint Server miete vittime: oltre 100 organizzazioni colpite
Di Redazione RHC - 22/07/2025

Recentemente, abbiamo discusso una vulnerabilità critica zero-day, CVE-2025-53770, presente in Microsoft SharePoint Server, che rappresenta un bypass della precedente falla di sicurezza CVE-2025-...

Sophos risolve cinque vulnerabilità in Sophos Firewall, due delle quali classificate come critiche
Di Redazione RHC - 22/07/2025

Sophos ha recentemente annunciato la risoluzione di cinque vulnerabilità di sicurezza indipendenti individuate nei propri firewall, alcune delle quali di gravità critica e altre di livello a...

Il Red Team Research di TIM scopre 5 CVE su Eclipse GlassFish, una critica (score 9,8)
Di Redazione RHC - 21/07/2025

Giovedì 16 luglio è stata una giornata significativa per i ricercatori di sicurezza informatica del team italiano Red Team Research (RTR) di TIM, che ha visto pubblicate cinque nuove vulnera...

Vulnerabilità in 7-Zip: gli aggressori possono eseguire attacchi di denial-of-service
Di Redazione RHC - 21/07/2025

Una falla critica nella sicurezza, relativa alla corruzione della memoria, è stata individuata nel noto software di archiviazione 7-Zip. Questa vulnerabilità può essere sfruttata da mal...

Escape di ToolShell: la nuova minaccia che colpisce i server Microsoft SharePoint
Di Redazione RHC - 21/07/2025

Una campagna di attacchi informatici avanzati è stata individuata che prende di mira i server Microsoft SharePoint. Questa minaccia si avvale di una serie di vulnerabilità, conosciuta come &...