Smishing INPS: nuove campagne di phishing usano Darcula per rubare le carte agli italiani

Il CERT-AGID ha rilevato nuove campagne di smishing che sfruttano il nome di INPS per indurre le vittime a cliccare su link pericolosi e sottrarre dati di carta di credito. Le campagne sono state osservate con particolare intensità e hanno come obiettivo l'acquisizione dei dati delle carte di credito

Il CERT-AGID ha rilevato nuove campagne di smishing che sfruttano il nome di INPS per indurre le vittime a cliccare su un link contenuto in un SMS con riferimenti a presunti sussidi per il carburante. A differenza di precedenti phishing con il medesimo tema, in questo caso il flusso fraudolento appare chiaramente orientato all’acquisizione dei dati della carta di credito, con il probabile obiettivo di effettuare addebiti non autorizzati.

A partire dall’inizio di questa settimana, il fenomeno è stato osservato con particolare intensità: in soli quattro giorni il CERT-AGID ha rilevato 14 campagne che sfruttano domini distinti. L’SMS osservato si presenta come una comunicazione dell’INPS e informa il destinatario dell’erogazione di “sussidi per il carburante” a causa dell’aumento dei prezzi di benzina e diesel, invitandolo a seguire un collegamento esterno.

Esempio di SMS malevolo

Dopo il click, la vittima raggiunge una pagina, visualizzabile solo da smartphone, che riproduce il layout mobile dell’INPS e fa riferimento a uno “schema di compensazione per l’aumento dei prezzi del carburante”. La pagina presenta, quindi, un falso sussidio di 300 euro e riporta come termine ultimo per la presentazione delle domande il 16/05/2026, per creare senso di urgenza.

Screenshot dell’home page del sito malevolo

In una fase successiva viene richiesto l’inserimento di dati personali quali nome completo, indirizzo, città, CAP e numero di telefono. Il passaggio conclusivo mostra invece una schermata di “accredito rapido sulla carta” che richiede nome del titolare, numero di carta di pagamento, data di scadenza e CVV. L’elemento più rilevante di questa nuova tipologia è il focus sul furto dei dati delle carte di credito piuttosto che su documenti di identità, CUD e dati lavorativi.

L’analisi tecnica svolta sugli artefatti associati agli smishing, ha evidenziato elementi compatibili con il Phishing-as-a-Service Darcula, piattaforma nota per la realizzazione di kit di phishing mobile-first, multi-step e orientati alla sottrazione di dati personali, carte di pagamento e OTP. In particolare si evidenzia che i file JavaScript osservati risultavano offuscati, pratica solitamente più diffusa in contesti associati a malware. Una volta deoffuscati, sono emersi riferimenti riconducibili all’ecosistema Darcula. Un ulteriore elemento di rilievo riguarda la gestione del dato sottratto alla vittima: il payload trasmesso nelle richieste POST è stato osservato in forma cifrata mediante schema basato su password+salt e successivamente codificato in Base64 prima dell’invio.

Screenshot del codice JavaScript deoffuscato con riferimento a Darcula

Per mitigare il rischio e contenere le possibili compromissioni, il CERT-AGID ha provveduto a informare il reparto di sicurezza informatica di INPS, ha richiesto la dismissione dei domini malevoli ai registrar e ha diramato gli indicatori di compromissione alle organizzazioniaccreditate al flusso IoC.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance