Bônus de mobilidade: phishing contra o SPID da Poste Italiane

De 4 de novembro de 2020 a 3 de janeiro de 2021 é possível solicitar o bónus bicicleta (bónus de mobilidade) no valor máximo de 500 €. A iniciativa foi proposta pelo Governo para incentivar a compra de meios de transporte ecológicos, como bicicletas e motonetas, sobretudo dada a correlação entre poluição e coronavírus . Em 5 de novembro, o CERT descobriu um ataque de phishing contra o SPID da Poste Italiane para o pedido de bônus de mobilidade.

Para solicitar o bônus de mobilidade, você precisa acessar o aplicativo especialmente desenvolvido e se registrar ou fazer login com suas credenciais SPID. O SPID é o Sistema Público de Identidade Digital para acesso aos sites da Administração Pública e de membros privados por meio de uma única senha em qualquer dispositivo. O SPID pode garantir sua privacidade e autenticá-lo , ou seja, afirmar sua verdadeira identidade digital.

phishing Poste Italiane SPID
Simulação de autorização SPID Poste Italiane. Créditos: Poste Italiane

SPID Phishing para Poste Italiane

Na Itália existem várias entidades que oferecem o SPID, entre as quais Tim, grupo IBM, Aruba … Entre as muitas encontramos também o SPID desenvolvido pela Poste Italiane que permite aceder a vários serviços a partir da aplicação adequada através da leitura do código QR, inserindo o senha escolhida no cadastro ou com impressão digital ou reconhecimento facial.

Há muito tempo se esperava que muitos usuários reivindicassem o bônus de mobilidade. A este respeito, um grupo de hackers registrou em 6 de outubro um domínio malicioso com o objetivo de roubar as credenciais SPID de usuários do Poste Italiane . A empresa D3Lab relatou o domínio malicioso chamado aggiornamento-spid[.]com quando ele ainda estava sem conteúdo.

phishing Poste Italiane SPID
Ilustração de phishing. Créditos: Kaspersky

Graças a este relatório, iniciou-se uma atividade de monitoramento do site e constatou-se que navegadores móveis ou agentes de usuários móveis podiam observar a página falsa do SPID Poste Italiane. Inicialmente, apenas navegadores de PC conseguiram bloquear a solicitação . Graças aos relatórios dos últimos dias, o redirecionamento para a página da web agora está bloqueado até mesmo no celular. Isso não significa que os usuários do Poste Italiane poderão receber SMS de phishing direcionados para inserir suas credenciais SPID.

Como funciona o ataque de phishing

O ataque de phishing leva o nome da palavra em inglês "to fish" porque foi desenvolvido para morder suas vítimas . Enquanto os peixes são enganados pela isca que esconde o anzol, os humanos digitais são enganados pelos gráficos que escondem um site malicioso.

O phishing ocorre de várias maneiras e pode ser direcionado a uma pessoa ou a um grupo delas. Geralmente, o ataque de phishing visa roubar credenciais de banco para fazer compras ou transferências para o invasor ou nomeado . Normalmente a vítima recebe um e-mail ou um SMS, às vezes até em redes sociais, de um remetente falso com um nome que pode ser rastreado até uma entidade realmente existente: por exemplo, o usuário Poste Italiane real de quem recebemos SMS pode ser PosteItaliane enquanto o falso poderia ser PosteIT. Assim que a mensagem é aberta, encontramos um texto no qual anuncia o problema e um link para resolvê-lo. O link também tem o mesmo defeito que o nome do SMS ou do e-mail, ou o link original da Poste Italiane é www.poste.it, o falso poderia ser www.posteitaliane.it.

phishing Poste Italiane SPID

As consequências de abrir o link ou baixar os anexos de um e-mail podem ser múltiplas . Ao baixar um anexo, poderíamos instalar um malware que talvez tenha a intenção de espionar nossas atividades (spyware), um ransomware (ele criptografa os dados no dispositivo e pede um resgate para recuperá-los). Ao abrir o link, geralmente somos redirecionados para um site onde os gráficos são idênticos ao site original, mas o domínio muda. A este respeito, é necessário verificar a presença de https e verificar se é realmente o domínio correto. É aconselhável inserir as credenciais apenas quando tiver certeza da veracidade do site.

Defenda-se do phishing

SMS e e-mail não são as únicas fontes de phishing. De facto, ao vishing recebemos um telefonema de um call center ou de um membro importante da empresa em que nos avisam de um problema e para o resolver é necessário informar os dados relativos à conta, principalmente pedindo um PIN ou uma palavra-passe. A outra alternativa é a criação de um perfil falso nas redes sociais e o envio de mensagens privadas ou postagens públicas notificando um suposto erro geral do site.

Como se defender contra ataques de phishing? Qualquer banco declara que nunca pede dados secretos que só o usuário conheça, como nome de usuário, PIN, senha, por SMS, e-mail, ligações ou outros. Portanto, o único método de defesa contra um ataque de phishing é não confiar em tudo o que você recebe da instituição, sempre seja cauteloso e nunca preencha os campos obrigatórios com dados pessoais ou forneça-os de outras maneiras. Em caso de dúvida, todas as empresas recomendam denunciar, às vezes há um e-mail específico (para Poste Italiane [email protected]) ou denunciando à Polícia Postal.

Os bancos ou agências de dinheiro não são os únicos afetados pelos ataques de phishing. Em março de 2020, a OMS foi o falso remetente de alguns e-mails sobre a prevenção da pandemia Covid-19 . Além disso, às vezes, ataques de phishing também podem ser induzidos a funcionários de uma empresa. No último caso, o invasor pode alegar ser uma empresa externa à qual foi confiada uma atribuição e solicitar ao funcionário vítima informações importantes.

O artigo Bônus de mobilidade: phishing contra o SPID da Poste Italiane vem da TechCuE .