EN Svindel bundet til Spid (Offentlig digital identitetssystem) vekker ikke liten bekymring mellom cybersecurity -eksperter og italienske borgere. Det aktuelle svindelen, omdøpt av media «Dobbelt spid -svindel«Selv om det er langt fra nytt fenomen, har hans oppblomstring i nyere tid vekket oppmerksomhet til det, spesielt med tilnærmingen til skattesesongen og selvangivelsen, en periode hvor millioner av italienere bruker Spid for å få tilgang til online -tjenestene til offentlige administrasjoner. Sårbarheten til systemet kan utnyttes av kriminelle for klon digital identitet av en bruker med forskjellige e -postmeldinger og telefonnumre å utføre Tyveri av pengerved å endre sensitive data som IBAN og forskjellige økonomiske informasjon eller personopplysninger om PA -portalene.
Hvordan «dobbelt spid -svindel» fungerer og fordi den er farlig
Svindelen utvikler seg i Tre hovedfasersom hver utnytter en spesifikk sårbarhet for SPID -systemet.
- Fase 1 – Anskaffelse: Kriminelle kjøper online (for eksempel på spesiell markedsplass på Telegram eller Dark Web), pakker med dokumenter som inkluderer sensitiv informasjon som identitetskort, helsekort og annen identifikasjonsinformasjon. Disse dataene selges til noen få titalls euro og brukes deretter til å utføre de påfølgende stadiene av svindelen.
- Fase 2 – Kloning: Den digitale identiteten, derfor blir aktiveringen av en annen spid knyttet til den samme skattekoden til offeret, utført av svindlerne. Faktisk utnytter IT-kriminelle muligheten for at SPID-systemet tilbyr for å skape mer digitale identiteter som er gyldige for den samme skattekoden, bare differensiert av en annen e-postadresse og telefonnummer. Og å omgå de forskjellige sikkerhetskontrollene som kreves av de forskjellige sertifiseringsenhetene, i dag som i dag kan de dra nytte av AI (for eksempel for å klone ansiktet til ofrene med Deepfake -teknikken). Denne gigantiske sikkerhetsfeilen som er til stede i det offentlige digitale identitetssystemet, lar angripere registrere en andre SPID ved hjelp av en annen leverandør fra den originale. Når den nye SPID -en er aktivert, kan svindlerne få tilgang til offerets skatte- og økonomiske data, for eksempel skatterefusjon eller Inps -kommunikasjon.
- Fase 3 – Divigation: Takket være tilgang til SPID -systemet, endrer svindlerne Ibans som er registrert på de offentlige portalene, for eksempel INPS, Revenue Agency eller NOIPA, og dette gjør at de kan avlede skattemessige refusjoner, lønn og pensjoner på den nye brukeren som ble opprettet uredelig. Offeret mister derfor ikke bare kontrollen over Spid, men befinner seg også med de kompromitterte bankkontoer og stjålet midler.
I å beskrive dette farlige fenomenet Ivano GiacomelliNasjonal sekretær for Citizen Rights Center, for å beskrive faren for denne svindelen, rapporterte:
Cybercriminals stjeler offerets dokumenter og personopplysninger på nettet som de registrerer en spid for sin kriminelle operasjoner. Oppmerksomhet, la oss snakke om veldig farlige handlinger. Med SPID, for eksempel, kan du få tilgang til skatteskuffen til inntektsbyrået og endre IBAN, og dermed avlede eventuelle refusjoner for skatter, kan du åpne kontoer eller aktiviteter. Det er tydelig at det første trinnet er opp til lederne av disse tjenestene, som må styrke sikkerhetstiltak.
Hvordan forsvare seg mot svindelen av den klonede spid
Hvis Spid -systemet på den ene siden har sårbarhet som er vanskelig å løse på teknisk nivå, er det derimot forskjellige forholdsregler å bli adoptert å forsvare seg selv fra «Dobbelt spid -svindel» og fra annen svindel relatert til digital identitet.
Det første og grunnleggende forebyggende tiltaket består iAktivereauto -faktor anbud eller 2fa (To-faktorautentisering) For hver online tjeneste som krever sensitiv tilgang, inkludert SPID naturlig. Dette verktøyet legger til et ekstra sikkerhetsnivå, og forhindrer uautorisert tilgang selv i tilfelle tyveri av legitimasjon.
Det er også viktig Kontroller med jevne mellomrom som er registrert på de offentlige portalenesom Inps, Inntektsbyrå Og USAfor å bekrefte at det ikke er gjort noen uautoriserte endringer. Også Ofte overvåker tilgangen til kontoene dine Og Bruk komplekse og unike passord For hver tjeneste kan det bidra til å redusere risikoen for kompromiss av deres kontoer og online tjenester fra den offentlige administrasjonen som brukes.
Hvis du er mistenkt for å være ofre for identitetstyveri eller kloning av Spid, foreslår vi at du fordømmer hendelsen til Postpoliti og tilAgid (Byrå for digitalt Italia), slik at den andre uredelige Spid er blokkert så snart som mulig.
