Una violenta campagna di phishing è in corso verso le caselle di posta elettronica certificata. Le mail malevole che vengono spedite hanno per oggetto “Invio File <XXXXXXXXXX>” e  indicano un allegato con il seguente nome ITYYYYYYYYYY_1bxpz.XML.p7m, comunque non presente nella email.

I phisher hanno clonato una comunicazione PEC lecita emessa a inizio del mese di ottobre da Sogei contestualmente al Sistema di Interscambio (SDI).

Il corpo della mail contiene al suo interno un richiamo ad una risorsa remota corrispondente a un meccanismo di tracking che si abilita all’apertura della mail e punta al seguente dominio: “pattayajcb[.]com

 

La comunicazione fa riferimento a un nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio“, tale indirizzo coincide sempre con il mittente della casella compromessa controllata dall’attaccante.

Di seguito uno screenshot del phishing veicolato:

 Si osserva che:

  • il display name [1] del mittente del messaggio di phishing corrisponde all’indirizzo PEC di un appartenente ad un ordine professionale e coincide con l’indirizzo destinatario;
  • il mittente effettivo [2] è una casella PEC di una società italiana.

Le indagini effettuate dal CERT-PA, in collaborazione con i gestori PEC, hanno rilevato circa 500 account PEC compromessi dai quali sono stati inviati circa 265.000 messaggi di phishing negli ultimi 7 giorni.

Cosa fare

Si raccomanda di eliminare immediatamente le comunicazioni PEC che hanno queste caratteristiche e, in generale, le PEC provenienti da utenze “sconosciute”.

 

 

 

 

 

 

   

          

 

Per essere sempre aggiornato sugli adempimenti e le scadenze in materia di privacy, amministrazione digitale, trasparenza, anticorruzione, conservazione digitale, iscriviti al canale Actainfo Telegram .