Nuove opportunità per il Phishing: lo SPID

Security Awareness
5 Gennaio 2021
phishing-spid
phishing-spid

Negli ultimi mesi, complici l’offerta di servizi e bonus per i cittadini, le richieste per ottenere lo SPID (Sistema Pubblico di Identità Digitale) sono notevolmente aumentate. Com’è ormai noto, lo SPID consente ai cittadini di poter accedere ai servizi online della pubblica amministrazione attraverso un’unica identità digitale.

Nei prossimi mesi questa modalità di autenticazione verrà utilizzata sempre di più, non solo per l’offerta dei servizi della Pubblica Amministrazione, come prenotazioni sanitarie, iscrizioni scolastiche, pagamento bolli auto, ecc., ma anche per quella dei servizi offerti da soggetti privati aderenti. Senza dimenticare che il sistema SPID è candidato ad essere riconosciuto a livello europeo.

Accedere ai servizi tramite SPID è semplice e sicuro, con i suoi 3 livelli di autenticazione attivabili, e può essere utilizzato da qualunque device.

Purtroppo, con una crescita così importante, più di 15 milioni di identità erogate al 30 dicembre 2020, il cyber crime non poteva non sfruttare questa nuova opportunità per avviare delle nuove campagne di Phishing con tema lo SPID.

Fonte: Agenzia per l’Italia Digitale

E’ infatti indubbio, che una mail a tema SPID può trarre indubbiamente in inganno, sopratutto se il mittente sembra essere un ente autorevole e riconosciuto.

La campagna Phishing con tema SPID – mittente Poste Italiane

E’ di inizio mese la segnalazione del CERT-AGID su una campagna di Phishing con tema SPID che sfrutta la popolarità del logo di Poste Italiane per rubare le preziose credenziali.

La mail invita le vittime a cliccare su un link per accettare le modifiche contrattuali entro 12 ore, onde evitare di non poter più utilizzare la carta PostePay.

Fonte: Cert-Agid

Una volta effettuato il click sul link, si accede ad una pagina di login per inserire le proprie credenziali. Peccato che la pagina, pur essendo identica per immagini e contenuti a quella ufficiale Poste Italiane, sia un clone.

Cadere nella trappola e inserire le proprie credenziali significa diventare vittima dell’attacco phishing e fornire al cyber crime informazioni sensibili come le nostre credenziali di accesso.

Quali sono i rischi del Phishing-SPID?

Il tema SPID sarà sicuramente sfruttato nei prossimi mesi dai criminali cyber per poter ottenere informazioni sensibili o per installare malware nei device delle vittime.

Nel caso dello SPID, rubare le credenziali, o almeno quelle relative al primo livello di sicurezza (userid e password), significa per un criminale poter impersonare la vittima ignara e trarne così vantaggi di vario tipo.

Ma non dimentichiamoci che l’obiettivo del Phishing rimane sempre quello di indurre il destinatario a cadere nell’inganno, magari sfruttando un tema così popolare, e fare clic su un collegamento malevolo.

Cosa fare se il messaggio fa riferimento al nostro SPID?

Evitate innanzitutto di farvi condizionare dal senso di urgenza suggerito dal messaggio, e verificate con attenzione il contenuto che vi è stato inviato:

  • Diffidate sempre delle mail che vi invitano a compiere un’azione, come cliccare su un link o aprire un allegato, con carattere d’urgenza, sopratutto se la richiesta è finalizzata a farvi inserire credenziali o dati sensibili.
  • Verificate, se possibile, sul sito ufficiale la bontà di quanto vi viene richiesto.
  • Fate attenzione all’indirizzo della pagina (URL) che vi viene mostrata per inserire le credenziali, diffidate se notate qualche anomalia.
  • Verificate che l’URL e l’indirizzo mail sia legittimo, molti brand accreditati forniscono l’elenco degli indirizzi mail che utilizzeranno per contattarvi.
  • Non lasciatevi ingannare “dall’apparenza” e dall’eventuale presenza del lucchetto nella barra degli indirizzi, purtroppo non fornisce più alcuna certezza.
  • Infine, a volte basta una semplice ricerca per scoprire se si tratta o no di una campagna di Phishing.

Articoli correlati

“123456”, la password che non ti aspetti

“123456”, la password che non ti aspetti

Cyber sicurezza: una password efficace è la prima regola, ma in troppo ancora la ignorano Sembra incredibile che nel 2025 ancora siano utilizzate password deboli, anzi debolissime, come “123456”, e ancora più incredibile è che a farlo sia stata una piattaforma di...

leggi tutto

News

Siamo orgogliosi di annunciare che Cyber Guru è stata inclusa nella prestigiosa lista “Top 100 EdTech Companies 2025” di TIME Magazine e Statista.

AWARENESS TRAINING

  • Awareness

    Formazione continua per costruire conoscenza e consapevolezza

  • Channel

    Un’esperienza formativa coinvolgente, in formato serie TV

  • Chatbot NEW

    Modalità conversazionale per la formazione nei luoghi di lavoro

COMPLIANCE TRAINING

PHISHING TRAINING

  • Phishing

    Formazione adattiva personalizzata

  • PhishPro

    L’add-on per un addestramento avanzato

REAL TIME AWARENESS

Cyber Advisor NEW

GenAI cybersecurity assistant Scopri Guru, l'assistente AI specializzato in cybersecurity!

RISORSA IN EVIDENZA

Ebook

Cyber Guru Academy Content Creators

Contenuti che fanno la differenza Ideare, progettare e produrre contenuti formativi in grado di generare interesse, coinvolgimento e motivazione ad apprendere, è una sfida quotidiana per il dipartimento Academy di Cyber Guru. Perché è ormai chiaro che per addestrare le persone a difendersi dal cyber crime non basta una piattaforma accattivante e una moltitudine di contenuti.