Dallo scorso 6 novembre è possibile richiedere il bonus bici. Per inoltrare correttamente la domanda è richiesto uno SPID, ossia un sistema di identità digitale che si ottiene attraverso alcuni provider. Tra questi, c’è anche Poste Italiane, che offre il suo PosteID SPID. Come segnalato dalla società di cybersicurezza D3Lab, è però in corso una campagna di phishing.
All’incirca un mese fa, alcuni hacker hanno registrato il dominio www.aggiornamento-spid[.]com, ospitato su server in Germania. Grazie a questo link, stanno cercando di mettere a segno un tentativo di truffa attraverso un classico tentativo di phishing, servendosi di un SMS ingannevole nel quale viene riprodotta la pagina d’accesso dello SPID PosteID.
Attraverso la registrazione del dominio specifico, gli hacker tentano di truffare gli utenti in concomitanza al click day del bonus bici. Nello specifico, molti utenti stanno ricevendo un SMS ingannevole che simula perfettamente la pagina di accesso dello SPID PosteID. L’unico campanello d’allarme è, appunto, il link d’accesso: www.aggiornamento-spid[.]com. Se per sbaglio un utente inserisce i dati all’interno del portale fake, questo li ruba in pochissimi secondi.
Nonostante le segnalazioni arrivate da D3Lab, il portale fake è ancora online.
Da desktop, i principali portali mostrano un avvertimento in rosso che fa capire come si tratti di una truffa. Da mobile, invece, si può accedere regolarmente e confondersi è molto semplice. Nei prossimi giorni, secondo il CERT, dovrebbero arrivare SMS che chiedono di accedere a questo portale per problemi di sicurezza all’account.