Обнаружена фишинговая кампания, направленная на пользователей SPID, в которой использовались название и логотип AgID, а также недавно зарегистрированный домен agidgov[.]com, который невозможно отследить до Агентства.
Описание
Мошенническое сообщение с темой «Надвигающееся приостановление действия SPID: необходимо принять меры» предлагает пользователям обновить свою документацию, побуждая их нажать на кнопку «Обновить документацию», которая перенаправляет их на вредоносный сайт.
Цель кампании - украсть учетные данные SPID жертв, а также копии документов, удостоверяющих личность, и видео, записанное в соответствии с определенными инструкциями по процедуре распознавания, например: Guarda verso la telecamera. Rimani serio, poi sorridi (Смотрите в камеру. Будьте серьезны, а затем улыбнитесь).
Индикаторы компрометации
Domains
- agidgov.com
URLs
- https://agidgov.com/login/
- https://agidgov.com/login/def
- https://agidgov.com/login/def/documents.php
- https://agidgov.com/login/def/login.php
- https://agidgov.com/login/def/login_error.php
- https://agidgov.com/login/def/send_data_1.php
- https://agidgov.com/login/def/send_data_2.php
- https://agidgov.com/login/def/send_data_4.php
- https://agidgov.com/login/def/video.php