Cyber News

Il CSIRT Italia ha pubblicato un avviso in merito a una nuova campagna di smishing che sfrutta nomi e loghi riferibili all’Istituto Nazionale della Previdenza Sociale (INPS) per trarre in inganno gli utenti.

Il testo dell’SMS avvisa circa la necessità di aggiornare i propri dati personali per evitare la sospensione dei benefici erogati dall’INPS. La comunicazione include un link apparentemente legittimo, ma in realtà fraudolento. Il messaggio si presenta in questo modo: “INPS informa che per continuare a ricevere Pagamenti e servizi INPS dovra confermare i dati in nostro possesso link: https://inps-verifica-utenti.it”.

Nonostante la presenza del protocollo HTTPS, l’URL è falso, e il testo contiene errori grammaticali che possono servire come indizio della frode.

Nel caso in cui l’utente clicca sul link, viene reindirizzato verso una landing page che riporta loghi e riferimenti dell’INPS, progettata per carpire informazioni sensibili della vittima.

Dopo aver inserito nome e cognome, data di nascita, codice fiscale, telefono e email, si richiede l’upload in formato digitale della carta di identità (fronte/retro) e un selfie con il documento di identità visibile, al fine di confermare la corretta identità della vittima.

Il CSIRT Italia raccomanda agli utenti e alle organizzazioni di prestare massima attenzione a messaggi di questo tipo e attivare le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di dar seguito a comunicazioni di questo tipo.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato nella pagina ufficiale del CSIRT Italia.

https://www.acn.gov.it/portale/en/w/rilevata-nuova-campagna-di-smishing-a-tema-inps

L'articolo Campagna di smishing a tema INPS proviene da Rivista Cybersecurity Trends.

Conad, il consorzio bolognese leader specializzato nel commercio al dettaglio e titolare dell’omonima catena di supermercati, è stato vittima di un attacco ransomware. Il gruppo di cyber criminali Lynx ha rivendicato l’incursione, pubblicando sul Dark Web un conto alla rovescia che concede al consorzio 72 ore per pagare un riscatto ed evitare la pubblicazione di documenti riservati.

Secondo quanto emerso, l’attacco non ha provocato danni all’infrastruttura IT del consorzio né compromesso l’operatività del sito web o dei servizi di Conad, ma ha consentito agli attaccanti di sottrarre dati sensibili relativi a risorse umane e clienti. I file resi visibili, sebbene pubblicati in una forma che ne rende difficile la lettura, consistono in versioni digitalizzate di documenti cartacei, tra cui capitolati e corrispondenze con clienti e fornitori.

Il 15 gennaio, Conad ha dichiarato che i dati copiati sono “non strutturati e non rilevanti” e che l’azienda ha già informato il Garante della Privacy e la Polizia Postale, procedendo anche con una denuncia formale: “Consorzio Nazionale Dettaglianti (Conad) Soc. Coop. ha subito, in data 20 novembre 2024, un attacco informatico ai propri sistemi, prontamente respinto grazie alle misure di difesa immediatamente implementate. Conad ha verificato che una piccola quantità di dati – non strutturati e non rilevanti, non riferiti in alcun modo ai clienti dell’insegna – potrebbe essere stata oggetto di copia. Subito dopo l’attacco, Conad ha prontamente informato il Garante per la protezione dei dati personali e la Polizia Postale. In queste ore, dopo aver ricostruito ulteriormente la vicenda attraverso informazioni diffuse apparentemente su siti web riconducibili ai criminali responsabili dell’attacco stesso, Conad ha depositato una denuncia relativa all’accaduto presso la Procura della Repubblica di Bologna”.

L’attacco si inserisce in un modello di “doppia estorsione” sempre più diffuso, in cui i criminali utilizzano la minaccia di pubblicazione dei dati rubati per spingere al pagamento. Conad rassicura clienti e fornitori sulla continuità delle operazioni, ma resta da vedere come evolverà la vicenda nei prossimi giorni.

https://www.federprivacy.org/informazione/flash-news/attacco-ransomware-a-conad-gli-hacker-chiedono-un-riscatto-per-non-pubblicare-i-dati

L'articolo Attacco ransomware a Conad proviene da Rivista Cybersecurity Trends.

La Polizia Postale segnala una nuova campagna di phishing, basata su false e-mail promozionali che sfruttano il marchio di aziende specializzate in bricolage e edilizia.

Questi messaggi ingannevoli propongono all’utente un premio speciale al completamento di un sondaggio. Per rendere il tutto più credibile, vengono incluse false testimonianze di presunti clienti che avrebbero vinto il premio offerto.

Una volta completato il sondaggio, l’utente viene reindirizzato a una pagina che richiede l’inserimento dell’indirizzo di spedizione e il pagamento di una somma per le spese. Così facendo, i cyber criminali riescono a ottenere i dati bancari delle vittime, utilizzandoli successivamente per scopi fraudolenti.

I consigli della Polizia Postale

• Diffidate di messaggi che propongono premi in cambio di un pagamento esiguo.
• Verificate sempre la veridicità delle campagne promozionali attraverso i canali ufficiali delle aziende.
• Controllate online se altre persone hanno già segnalato l’offerta come truffa.

Per ulteriori informazioni o per segnalazioni, visita il sito ufficiale della Polizia Postale: www.commissariatodips.it

https://www.commissariatodips.it/notizie/articolo/attenzione-alle-false-campagne-promozionali/index.html

L'articolo Polizia Postale: Attenzione false campagne promozionali proviene da Rivista Cybersecurity Trends.

È in corso una campagna di phishing che utilizza in modo fraudolento il logo e il nome del Ministero della Salute per truffare gli utenti, sottraendo loro dati personali e finanziari. A segnalarlo è il CERT-AGID, che ha evidenziato come i cybercriminali stiano inviando email fraudolente, apparentemente legittime, progettate per sembrare legittime, al fine di ingannare le vittime.

Le email invitano gli utenti a cliccare su un link che li conduce a una pagina web fraudolenta, dove viene richiesto di inserire dati personali per ricevere un presunto rimborso di €265,67 da parte del Servizio Sanitario Nazionale.

Dati personali sottratti

Le informazioni richieste comprendono nome, cognome, residenza, numero di telefono e dettagli della carta di credito. Una volta compilato i campi, la vittima viene indirizzate su una seconda pagina dove viene richiesto di inserire nuovamente i dati della carta di credito. Questa tattica è stata studiata dai cybercriminali per evitare da un lato errori di battitura, e dall’altro per ottenere eventualmente l’inserimento dei dati di una seconda carta.

Azioni intraprese e aggiornamenti

Il dominio utilizzato per la truffa è stato registrato di recente sulla piattaforma Namecheap. Il CERT-AGID ha attivato tutte le misure necessarie per contrastare la campagna, tra cui diffondendo gli IoC relativi, contattando il servizio di “abuse” di Namecheap e informando il Ministero della Salute.

In data 20 gennaio 2025, è stata rilevata un’ulteriore campagna che sfrutta le stesse modalità. I nuovi Indicatori di Compromissione sono stati immediatamente diramati, e il file di download disponibile per le organizzazioni accreditate è stato aggiornato.

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sulla piattaforma ufficiale dell’ente, verificando attentamente l’indirizzo URL che compare nel browser e assicurandosi che presenti il dominio ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni ritenute dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it.

https://cert-agid.gov.it/news/false-comunicazioni-del-ministero-della-salute-sfruttate-per-phishing-finanziario/

L'articolo Phishing finanziario in corso: false email del Ministero della Salute proviene da Rivista Cybersecurity Trends.

La Polizia Postale segnala una campagna di phishing in corso mirata agli utenti di Telegram. Si invitano tutti a prestare massima attenzione ai messaggi ricevuti, anche se inviati da contatti memorizzati in rubrica, che invitano a cliccare su link per visualizzare contenuti e che rimandano a una pagina clone della piattaforma Telegram, dove viene richiesto l’inserimento del numero di telefono e di altri dati personali.

Inserire i dati richiesti su queste pagine e completare la procedura consente ai cybercriminali di appropriarsi dell’account Telegram, che viene poi utilizzato per inviare ulteriori messaggi truffa della stessa tipologia a tutti i contatti in rubrica.

La Polizia Postale raccomanda di attivare l’autenticazione a due fattori per una maggiore protezione dell’account e di controllare le sessioni attive su altri dispositivi tramite l’apposita funzione dell’applicazione, rimuovendo quelle non riconosciute.

Per ulteriori informazioni e segnalazioni, rivolgersi alla Polizia Postale attraverso il sito ufficiale www.commissariatodips.it

https://www.commissariatodips.it/notizie/articolo/attenzione-nuova-campagna-di-phishing-rivolta-agli-utenti-telegram/index.html

L'articolo Polizia Postale: attenzione, phishing contro utenti Telegram proviene da Rivista Cybersecurity Trends.

Il CERT-AGID ha identificato una campagna di smishing attiva su due differenti domini che utilizza il nome e il logo dell’INPS per ingannare le vittime e ottenere dati personali e finanziari. Questo fenomeno, che persiste da circa due anni in Italia, continua a diffondersi attraverso SMS fraudolenti che simulano comunicazioni ufficiali.

Gli SMS invitano gli utenti a seguire un link per aggiornare le proprie informazioni, pena la sospensione dell’utenza. Esempio di messaggio fraudolento:

“Il tuo profilo INPS va aggiornato perché scaduto, rinnova i dati per evitare la sospensione da INPS.”

Cliccando sul link, gli utenti vengono reindirizzati a un sito web falso, quasi identico al portale ufficiale dell’INPS. Qui vengono richiesti i seguenti documenti personali:

• carta d’identità (fronte e retro);
• tessera sanitaria (fronte e retro);
• patente di guida (fronte e retro);
• selfie con carta d’identità e patente di guida.

Al termine della procedura, le vittime ricevono un messaggio ingannevole che segnala un errore di identificazione, spingendole a reinserire nuovamente la carta d’identità e dei selfie.

I dati raccolti vengono sfruttati per mettere in atto diverse attività fraudolente. Uno degli obiettivi principali è la registrazione di un’identità SPID intestata alla vittima, un’operazione che , però, può andare a buon fine solo se non vengono effettuate correttamente le dovute verifiche. Una volta ottenuto il controllo di una nuova identità SPID, i truffatori possono accedere ai servizi pubblici e compiere operazioni come modificare l’IBAN associato ai servizi di pagamento, dirottando così l’accreditamento dello stipendio o delle pensioni su conti correnti a loro disposizione. Inoltre, i documenti rubati possono essere venduti nel dark web, sfruttati per creare identità false o per eseguire ulteriori frodi.

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi, diffidando di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sul sito ufficiale dell’ente, verificando attentamente l’indirizzo URL nel browser e assicurandosi che il dominio visualizzato nella barra degli indirizzi coincida con quello ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it

In merito a questo fenomeno, l’INPS ha già pubblicato avvisi per sensibilizzare i cittadini sul tema, ribadendo l’importanza di essere vigili e di non condividere mai dati personali attraverso canali non ufficiali.

https://cert-agid.gov.it/news/smishing-a-danno-di-inps-caccia-ai-documenti-personali-da-sfruttare-per-il-furto-di-identita/

L'articolo Smishing INPS: furto di identità e creazione di SPID falsi proviene da Rivista Cybersecurity Trends.

La Polizia Postale ha lanciato un nuovo avviso sulla “Task Scam”, una frode in crescita che sfrutta false offerte di lavoro su WhatsApp per ingannare le vittime e sottrarre denaro.

Come funziona la truffa

Tutto inizia con un semplice messaggio da un numero sconosciuto, spesso con prefisso estero:

“Salve, posso parlarle un attimo?”

Rispondendo al messaggio, si verrà contattati da una presunta reclutatrice che, fingendo di rappresentare un’azienda reale, proporrà un’offerta allettante di lavoro con orari flessibili e retribuzioni elevate. I compiti richiesti sono apparentemente semplici, come mettere like, seguire profili social o scrivere recensioni.

Una volta accettata l’offerta, viene chiesto di aprire un portafoglio di criptovalute, su cui verranno accreditati i primi compensi per il lavoro svolto. A questo punto, conquistata la fiducia della vittima, il truffatore chiederà di investire denaro, che però non verrà mai restituito.

Il consiglio della Polizia Postale

Il primo elemento per riconoscere che si tratta di una truffa è l’uso di numerazioni con prefisso estero. Non rispondere a messaggi inviati da utenti sconosciuti, non cliccare su link sospetti che possono compromettere i tuoi dispositivi, non fornire le tue password di accesso a conti correnti e posta elettronica, e, soprattutto, proteggi i tuoi dati personali.

Per maggiori informazioni e segnalazioni, visita il sito ufficiale della Polizia Postale www.commissariatodips.it

https://www.commissariatodips.it/notizie/articolo/task-scam-hai-ricevuto-unofferta-di-lavoro-su-whatsapp-non-cadere-nella-truffa/index.html

L'articolo Task Scam: truffa delle false offerte di lavoro su WhatsApp proviene da Rivista Cybersecurity Trends.

Una nuova campagna del malware Vidar è stata individuata negli ultimi giorni. L’attacco segue schemi già osservati in precedenti campagne, ma introduce nuove tecniche avanzate di offuscamento e l’impiego di Domain Generation Algorithm (DGA) per la generazione dinamica degli indirizzi malevoli.

L’attività malevola è stata rilevata intorno alla mezzanotte del 2 febbraio, con l’identificazione di 136 domini principali associati all’attacco. Come già accaduto in passato, gli URL utilizzati per diffondere il payload — un file JavaScript offuscato — sono inizialmente rimasti inattivi, per poi attivarsi solo nella mattinata successiva. Questa strategia consente agli attori della minaccia di sfuggire ai controlli preventivi e aumentare le probabilità di successo dell’infezione.

Un aspetto distintivo di questa nuova ondata è l’adozione di un metodo di offuscamento più elaborato. Il malware elabora la stringa di input suddividendola in una lista di numeri interi, che vengono poi decodificati tramite un’operazione XOR con un valore costante, restituendo infine il codice de-offuscato pronto per l’esecuzione, spiegano gli esperti di CERT-AGID. Questo rende più complessa l’analisi statica da parte degli strumenti di sicurezza automatizzati e ritarda il rilevamento del malware.

Oltre all’impiego di strategie per eludere i sistemi di sicurezza, come DGA e l’attivazione ritardata degli URL, gli esperti hanno rilevato una costante variazione del payload scaricato a seguito dell’infezione: Vidar, infatti, conduce di volta in volta al rilascio di un ulteriore malware afferente sempre a una famiglia diversa.

Le attività di contrasto sono state già avviate con il supporto dei Gestori PEC, e gli Indicatori di Compromissione (IoC) relativi alla campagna sono stati condivisi attraverso il Feed IoC del CERT-AGID con le strutture accreditate.

Il CERT-AGID raccomanda di prestare la massima attenzione alle email ricevute tramite PEC, soprattutto se contenenti link sospetti. In caso di dubbi, è possibile segnalare le email sospette all’indirizzo malware@cert-agid.gov.it per ulteriori verifiche.

https://cert-agid.gov.it/news/vidar-muta-ancora-payload-variabile-e-offuscamento-piu-raffinato-per-questa-nuova-ondata/

L'articolo Vidar evolve: nuova ondata con offuscamento avanzato proviene da Rivista Cybersecurity Trends.

NoiPA, la piattaforma sviluppata dal Dipartimento dell’Amministrazione Generale del personale e dei servizi (DAG) del Ministero dell’Economia e delle Finanze (MEF), dedicata alla gestione del personale della Pubblica Amministrazione, ha pubblicato un avviso riguardante tentativi di phishing ai danni degli utenti della piattaforma.

Queste mail fraudolente sono inviate da un falso Servizio Clienti NoiPA e invitano a cliccare su un link ingannevole (“noipa.gov.mef”) per accedere alla propria Area Riservata.

Si tratta di un tentativo di frode informatica volto a sottrarre dati personali e informazioni sensibili attraverso comunicazioni all’apparenza molto simili a quelle ufficiali.

Come proteggersi

Per evitare di cadere vittima di questi attacchi, NoiPA invita gli utenti a: non cliccare su link presenti in comunicazioni sospette, verificando sempre l’autenticità del mittente prima di interagire con il contenuto della comunicazione.

Inoltre, sottolinea che l’unico indirizzo ufficiale per accedere alla propria Area Riservata è: noipa.mef.gov.it e che, per motivi di sicurezza, NoiPA non richiede mai di fornire dati personali attraverso mail, SMS o applicazioni non ufficiali.

Infine, NoiPA raccomanda di proteggere la propria identità digitale accedendo ai servizi online solo tramite connessioni sicure e dispositivi con software antivirus aggiornati, e consiglia di monitorare regolarmente la propria Area Riservata per rilevare eventuali accessi non autorizzati.

In caso di attività sospette, si invita a contattare prontamente il Supporto NoiPA per le opportune segnalazioni.

https://noipa.mef.gov.it/cl/web/guest/-/noipa-sicuri-tentativi-di-phishing-in-corso

L'articolo Phishing in corso contro NoiPA proviene da Rivista Cybersecurity Trends.

Aggiornamenti di sicurezza sanano alcune vulnerabilità, di cui 2 con gravità “alta” in PAN-OS. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato di bypassare l’autenticazione ed eseguire comandi arbitrari.

Note: la CVE-2025-0108 risulta essere sfruttata attivamente in rete.

Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2025-0108 risulta disponibile in rete.

Tipologia

• Arbitrary Code Execution
• Authentication Bypass

Prodotti e/o versioni affette

PAN-OS OpenConfig Plugin, versioni precedenti alla 2.1.2

PAN-OS

• 11.2.x, versioni precedenti alla 11.2.4
• 11.1.x, versioni precedenti alla 11.1.6
• 10.2.x, versioni precedenti alla 10.2.13
• 10.1.x, versioni precedenti alla 10.1.14

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2025-0108

CVE-2025-0110

Per ulteriori dettagli:

https://www.acn.gov.it/portale/w/palo-alto-networks-risolte-vulnerabilita-in-pan-os

L'articolo Palo Alto Networks: risolte vulnerabilità in PAN-OS proviene da Rivista Cybersecurity Trends.