Il CERT-AgID ha rilevato campagne di smishing in atto molto diffuse a tema “INPS: falso bonus carburante“.

Allarme del CERT-AgID che ha rilevato nuove campagne di smishing che sfruttano il nome di INPS per indurre le vittime a cliccare su un link contenuto in un SMS. La grande minaccia è la presenza dei riferimenti a presunti sussidi per il carburante.

A differenza di precedenti phishing con il medesimo tema, in questo caso il flusso fraudolento appare chiaramente orientato all’acquisizione dei dati della carta di credito. L’obiettivo è quello di effettuare addebiti non autorizzati.

Negli ultimi giorni il fenomeno è apparso in grande crescita. “In soli quattro giorni il CERT-AGID ha rilevato 14 campagne che sfruttano domini distinti”.

Il messaggio esca e i rischi per l’utente

Secondo l’analisi, l’SMS osservato si presenta come una comunicazione dell’INPS e informa il destinatario dell’erogazione di “sussidi per il carburante”. Il motivo è la causa dell’aumento dei prezzi di benzina e diesel, invitandolo a seguire un collegamento esterno.

Dopo il click, l’utente raggiunge una pagina, visualizzabile solo da smartphone, che riproduce il layout mobile dell’INPS. La struttura del portale fa riferimento a uno “schema di compensazione per l’aumento dei prezzi del carburante”.

La pagina presenta, quindi, un falso sussidio di 300 euro e riportava come termine ultimo per la presentazione delle domande il 16/05/2026, per creare senso di urgenza.

Elementi riconducibili al PHaaS Darcula

L’analisi tecnica svolta sugli artefatti associati agli smishing, ha evidenziato elementi compatibili con il Phishing-as-a-Service Darcula. Si tratta di una piattaforma nota per la realizzazione di kit di phishing mobile-first, multi-step e orientati alla sottrazione di dati personali, carte di pagamento e OTP.

Nell’allarme si evidenzia come i file JavaScript osservati risultavano offuscati, pratica solitamente più diffusa in contesti associati a malware. Una volta deoffuscati, sono emersi riferimenti riconducibili all’ecosistema Darcula.

Un ulteriore elemento di rilievo riguarda la gestione del dato sottratto alla vittima. “Il payload trasmesso nelle richieste POST è stato osservato in forma cifrata mediante schema basato su password+salt e successivamente codificato in Base64 prima dell’invio“.

Azioni di contrasto

Per mitigare il rischio e contenere le possibili compromissioni, il CERT-AGID ha provveduto “a informare il reparto di sicurezza informatica dell’INPS. Inoltre, ha richiesto “la dismissione dei domini malevoli ai registrar e ha diramato gli indicatori di compromissione alle organizzazioni accreditate al flusso IoC“.

Indicatori di compromissione

• Al fine di rendere pubblici i dettagli di queste campagne si riportano di seguito gli indicatori rilevati al link Download IoC.

Vai al sito di Cybersecurity Italia.

L'articolo Smishing a tema “INPS: falso bonus carburante”, l’allarme del CERT-AgID. Come proteggersi sembra essere il primo su CyberSecurity Italia.