Lo SPID, il Sistema Pubblico di Identità Digitale, è da diversi anni uno strumento fondamentale per accedere a numerosi servizi online della pubblica amministrazione e dei privati. Con la sua crescente diffusione, però, è aumentato anche il numero di attacchi di phishing che lo prendono di mira.
Cos’è il phishing dello SPID?
Il phishing dello SPID è un tipo di attacco informatico che cerca di ingannare l’utente per indurlo a fornire le proprie credenziali SPID. I criminali informatici inviano email, SMS o messaggi sui social media che si fingono comunicazioni ufficiali di Poste Italiane, TIM, Sielte o Aruba, gli Identity Provider che gestiscono lo SPID. Questi messaggi invitano l’utente a cliccare su un link che lo reindirizza a una pagina web falsa che imita il sito ufficiale dello SPID.
Una volta che l’utente inserisce le proprie credenziali su questa pagina falsa, i criminali informatici possono rubarle e utilizzarle per accedere ai suoi servizi online, come INPS, Agenzia delle Entrate o il proprio Home Banking.
Come avviene l’attacco?
Le tecniche di phishing dello SPID sono molto varie e possono essere molto sofisticate. I criminali informatici possono utilizzare diverse tecniche per ingannare l’utente, come:
- Email e SMS che sembrano ufficiali: i messaggi di phishing sono spesso realizzati con grande cura e possono sembrare praticamente identici a quelli reali inviati da Poste Italiane, TIM, Sielte o Aruba. I criminali informatici possono anche utilizzare un linguaggio che crea un senso di urgenza, per esempio minacciando di sospendere lo SPID dell’utente se non clicca sul link entro un certo tempo.
- Pagine web false: una volta cliccato su un link malevolo, le pagine web false che imitano il sito ufficiale dello SPID sono spesso difficili da riconoscere, in quanto molto realistiche. I criminali informatici possono utilizzare la stessa grafica e lo stesso logo del sito ufficiale, per cui è difficile per l’utente accorgersi della differenza.
- Malware: In alcuni casi, i criminali informatici possono utilizzare malware per infettare il dispositivo dell’utente. Questo malware può essere utilizzato per rubare le credenziali SPID dell’utente o per intercettare le sue comunicazioni online.
Quali sono i rischi?
Le conseguenze di un attacco di phishing dello SPID possono essere molto gravi. I criminali informatici possono utilizzare le credenziali rubate per:
- Accedere ai servizi online dell’utente, come l’INPS, l’Agenzia delle Entrate o il proprio home banking.
- Effettuare pagamenti online a nome dell’utente.
- Sottrarre dati personali e sensibili dell’utente.
- Commettere reati online a nome dell’utente.
Come difendersi dal phishing dello SPID?
Per difendersi dal phishing dello SPID è importante adottare alcune semplici precauzioni:
- Consapevolezza: innanzitutto, avere una minima conoscenza di come agiscono gli hacker.
- Non cliccare su link contenuti in email, SMS o messaggi sui social media che provengono da mittenti sconosciuti o che appaiono sospetti.
- Controllare sempre l’indirizzo del sito web prima di inserire le proprie credenziali SPID. Assicurarsi inoltre che l’indirizzo inizi con “https://” e che sia presente il lucchetto verde nella barra degli indirizzi.
- Non inserire mai le proprie credenziali SPID su un sito web che non è sicuro.
- Utilizzare una password complessa e diversa per ogni servizio online.
- Attivare l’autenticazione a due fattori (2FA) per lo SPID.
- Tenere aggiornato il software antivirus e anti-malware sul proprio dispositivo.
- Se sei un’azienda, affidarsi a una società che offre servizi di Sicurezza Informatica Gestita, con analisti cyber attivi H24, 365 giorni l’anno.
- Diffidare da qualsiasi messaggio che crea un senso di urgenza.
Con un po’ di attenzione e consapevolezza, è possibile difendersi efficacemente dagli attacchi di phishing dello SPID e proteggere la propria identità digitale.
Contatta Noi Sicurezza per conoscere le soluzioni di cyber security più adatte alla tua azienda: