DE’Skatteetaten rapporterte en ny phishing-kampanje som, ved feilaktig bruk av logoen og navnet til AdE selv, forsøker å få brukere til å utlevere SPID-legitimasjonen deres, den digitale identiteten som gir tilgang til online-tjenestene til den offentlige administrasjonen. Angrepet starter med en tilsynelatende legitim kommunikasjon som inviterer deg til å få tilgang til det reserverte området til Revenue Agency: meldingen inneholder en hyperkobling som, i stedet for å ta deg til den institusjonelle nettsiden til det italienske skattemyndighetene, omdirigerer til en side bygget spesifikt av svindlerne for å stjele informasjonen de trenger for å utføre angrepet. La oss ta en nærmere titt hvordan SPID-legitimasjonsphishing fungerer og hvordan du kan forsvare deg selv.
Hvordan phishing forkledd som en kommunikasjon fra Revenue Agency fungerer
La oss gå i detalj om svindelmekanismen og la oss se hvordan phishing forkledd som en kommunikasjon fra Skatteetaten fungerer. E-postene som spres i denne kampanjen er utformet for å virke troverdige både i grafikk og språk, og minner om offisiell kommunikasjon fra Revenue Agency. Lenken i teksten fører til et uredelig nettsted, det vil si et nettsted laget spesifikt av svindlere, som gjenskaper utseendet til organisasjonens reserverte område. Her vises en falsk påloggingsskjerm som simulerer pålogging via SPID.
Skjemaet krever inntasting av kun det digitale identitetspassordet, da brukerens e-postadresse allerede er fylt ut automatisk. Den forebyggende inkluderingen av disse dataene er et element som øker troverdigheten til meldingen og kan redusere oppmerksomhetsnivået til de som mottar det. «Hvis denne informasjonen allerede er utfylt», kan mottakeren av meldingen faktisk tenke, «åpenbart er det fordi meldingen virkelig kommer fra skattemyndighetene, som kjenner dataene til hver skattebetaler». På det tidspunktet, hvis den aktuelle brukeren fyller ut nettskjemaet, leverer han de dyrebare dataene de lette etter i hendene på nettkriminelle.
Hvordan forsvare deg mot et phishing-forsøk gjort for å stjele SPID-en din
Skatteetaten gjentok sin fullstendige ikke-involvering i disse kommunikasjonene, slik det systematisk skjer i lignende saker. Til forsvar deg mot phishing-forsøk det må alltid huskes at organisasjonen ikke sender e-poster med direkte lenker for å legge inn legitimasjon, og derfor må du være på vakt mot meldinger som ber om hastetiltak. Hva skal du gjøre hvis du mottar en melding som vil at du skal tro at den kommer fra Skatteetaten, men som i realiteten har et uhyggelig opphav? Dette er organisasjonens råd:
Som alltid anbefaler vi at du følger den største oppmerksomheten hvis du mottar e-poster av denne typen, unngår å klikke på lenkene eller oppgi personlig informasjon, og vi inviterer deg til å fortsette med å fjerne dem umiddelbart.
Hva om du ikke kan finne ut om meldingen du mottar er autentisk eller ikke? I dette tilfellet er det bedre å komme i direkte kontakt med Revenue Agency ved å gå personlig til det relevante territorielle kontoret (du kan finne det ved å konsultere denne siden) eller, igjen, bruke kontaktdetaljene på kontaktsiden til selve organet.
