Il CERT-AgID ha emesso un’allerta riguardante una campagna di phishing attualmente in corso che prende di mira gli utenti del servizio di posta elettronica LiberoMail.
Il modus operandi dei criminali informatici è particolarmente insidioso, poiché sfrutta tecniche di social engineering ben congegnate per ingannare le vittime e carpire le loro credenziali.
Indice degli argomenti
Phishing su LiberoMail: la truffa della finta fattura
Le e-mail di phishing sono redatte in italiano corretto e simulate come parte di una conversazione già avviata, rendendo difficile individuarle a colpo d’occhio.
Il messaggio sollecita il destinatario a saldare una presunta fattura allegata.
Fonte: CERT-AgID.
L’allegato è un file PDF che, una volta aperto, non mostra direttamente un contenuto, ma informa che il documento è protetto e invita l’utente a cliccare su un pulsante per visualizzarlo. Obiettivo: rubare le credenziali LiberoMail.
Infatti, cliccando sul pulsante, l’utente viene reindirizzato (https://zimorek.za[.]com/lots/libero-connect/it/index.php) a una pagina di login contraffatta che imita l’interfaccia di accesso alla posta elettronica di Libero.
Inserendo le proprie credenziali, queste verrano immediatamente trasmesse in chiaro a un canale Telegram sotto il controllo degli attaccanti.
Secondo il CERT-AgID, questo canale sarebbe attivo almeno dal 21 settembre 2023 e conterrebbe numerosi account compromessi.
Come proteggersi dal phishing su LiberoMail
Per evitare di cadere vittima di questa truffa, è fondamentale adottare alcune semplici ma efficaci precauzioni, come non aprire allegati sospetti, soprattutto se riguardano fatture o richieste di pagamento non previste e controllare l’URL del sito prima di inserire eventuali credenziali.
Il CERT-AgID ha messo a disposizione un set di Indicatori di Compromissione (IoC) che possono essere utilizzati da amministratori di sistema e analisti di sicurezza per monitorare e bloccare la minaccia.
Considerazioni finali
Questa campagna dimostra ancora una volta quanto sia essenziale mantenere alta l’attenzione su e-mail apparentemente legittime e verificare sempre l’autenticità dei mittenti e dei contenuti.
Anche servizi consolidati come LiberoMail possono diventare il bersaglio di sofisticate truffe digitali.
In caso di dubbio, è sempre preferibile non interagire con il contenuto dell’e-mail e rivolgersi agli enti di riferimento come il CERT-AgID e la Polizia Postale.
Durante l’analisi della campagna phishing ho riscontrato che all’URL “https://zimorek.za[.]com/lots/” è presente anche un archivio compresso “Libero-NEW.zip” contenente una directory con loghi, file di configurazione e pagine di phishing PHP pronti all’uso.
