Phishing verso PEC con riferimenti fraudolenti a fatture elettroniche
Una violenta campagna di phishing è in corso verso le caselle di posta elettronica certificata. Le mail malevole che vengono spedite hanno per oggetto “Invio File <XXXXXXXXXX>” e indicano un allegato con il seguente nome ITYYYYYYYYYY_1bxpz.XML.p7m, comunque non presente nella email.
I phisher hanno clonato una comunicazione PEC lecita emessa a inizio del mese di ottobre da Sogei contestualmente al Sistema di Interscambio (SDI).
Il corpo della mail contiene al suo interno un richiamo ad una risorsa remota corrispondente a un meccanismo di tracking che si abilita all’apertura della mail e punta al seguente dominio: “pattayajcb[.]com“
La comunicazione fa riferimento a un “nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio“, tale indirizzo coincide sempre con il mittente della casella compromessa controllata dall’attaccante.
Di seguito uno screenshot del phishing veicolato:
Si osserva che:
- il display name [1] del mittente del messaggio di phishing corrisponde all’indirizzo PEC di un appartenente ad un ordine professionale e coincide con l’indirizzo destinatario;
- il mittente effettivo [2] è una casella PEC di una società italiana.
Le indagini effettuate dal CERT-PA, in collaborazione con i gestori PEC, hanno rilevato circa 500 account PEC compromessi dai quali sono stati inviati circa 265.000 messaggi di phishing negli ultimi 7 giorni.
Cosa fare
Si raccomanda di eliminare immediatamente le comunicazioni PEC che hanno queste caratteristiche e, in generale, le PEC provenienti da utenze “sconosciute”.
