Smishing INPS: хищение SPID, перенаправление выплат

Появилась новая smishing-кампания, нацеленная на пользователей Итальянского национального института социального обеспечения (INPS), которая вводит в заблуждение физических лиц с целью получения конфиденциальной личной и финансовой информации. Злоумышленники подделывают бренд института, побуждая жертв раскрыть личные данные, банковские реквизиты и загрузить фотокопии документов.

Как действует атака

Атака построена на элементах социальной инженерии и использует SMS-сообщения, которые кажутся официальными уведомлениями от INPS. Основные приёмы злоумышленников включают:

• обманчивые ссылки и формы для ввода персональной информации;
• требование загрузить сканы или фото удостоверений и других документов;
• распространение вредоносного ПО и фишинговых страниц, направленных на кражу учетных данных SPID (Sistema Pubblico di Identità Digitale).

Почему это опасно

Получив доступ к учетным данным SPID, злоумышленники получают возможность работать с государственными онлайн-сервисами от имени пострадавшего. На практике это может привести к серьезным финансовым потерям: киберпреступники способны изменить IBAN, связанный с государственными выплатами, и перенаправлять такие платежи — зарплату, пенсии и пособия — на контролируемые ими банковские счета.

Действия CERT-AGID

В ответ на угрозу CERT-AGID внедрила контрмеры: вредоносный домен, используемый в этой кампании, был выведен из эксплуатации. Также индикаторы компрометации (IOCs) связанной операции были распространены среди профильных организаций для повышения их готовности и защиты от подобных атак.

Что нужно делать пользователям

• Никогда не переходите по подозрительным ссылкам из SMS — даже если сообщение выглядит как от INPS;
• Не вводите и не передавайте учетные данные SPID третьим лицам и не загружайте сканы документов в непроверенные ресурсы;
• Проверяйте подлинность уведомлений через официальные каналы INPS и через защищённые порталы, а не по ссылкам из сообщений;
• При малейших сомнениях свяжитесь с банком, чтобы убедиться в неизменности реквизитов IBAN для получения выплат;
• Регулярно обновляйте мобильные устройства и используйте средства защиты (антивирус, ограничения прав приложений).

Рекомендации для организаций и поставщиков услуг

• Обменяться полученными IOCs и оперативно обновлять защитные сигнатуры;
• Повысить мониторинг аномалий, связанных с изменением банковских реквизитов и входом по SPID;
• информировать пользователей о рисках smishing и способах проверки подлинности сообщений;
• координировать действия с CERT-AGID и другими ведомствами для быстрого вывода вредоносной инфраструктуры из эксплуатации.

Закрепление и эволюция подобной тактики smishing подчёркивают важность постоянной бдительности и информированности населения. Социальная инженерия остаётся одним из наиболее эффективных инструментов злоумышленников, поэтому личная осторожность и скоординированные меры со стороны институтов — ключ к снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.