LE’Agence du revenu a signalé une nouvelle campagne de phishing qui, en utilisant de manière inappropriée le logo et le nom de l’AdE elle-même, tente d’inciter les utilisateurs à remettre leurs identifiants SPID, l’identité numérique qui permet d’accéder aux services en ligne de l’administration publique. L’attaque commence par une communication apparemment légitime vous invitant à accéder à la zone réservée de l’Agence des Revenus : le message contient un hyperlien qui, au lieu de vous diriger vers le site institutionnel du gouvernement fiscal italien, redirige vers une page spécialement créée par les fraudeurs pour voler les informations dont ils ont besoin pour mener à bien l’attaque. Regardons de plus près comment fonctionne le phishing d’identifiants SPID et comment vous défendre.
Comment fonctionne le phishing déguisé en communication de l’Agence du revenu
Entrons dans les détails du mécanisme d’arnaque et voyons comment fonctionne le phishing déguisé en communication de l’Agence du revenu. Les courriels diffusés dans le cadre de cette campagne sont conçus pour paraître crédibles tant dans leur graphisme que dans leur langage, rappelant les communications officielles de l’Agence du revenu. Le lien dans le texte mène vers un site frauduleux, c’est-à-dire un site créé spécifiquement par des escrocs, qui reproduit l’apparence de l’espace réservé de l’organisation. Voici un écran de connexion usurpé qui simule la connexion via SPID.
Le formulaire nécessite uniquement la saisie du mot de passe d’identité numérique, l’adresse e-mail de l’utilisateur étant déjà renseignée automatiquement. L’inclusion préventive de ces données est un élément qui augmente la crédibilité du message et peut réduire le niveau d’attention de ceux qui le reçoivent. «Si ces informations sont déjà renseignées», le destinataire du message pourrait en effet penser : «c’est évidemment parce que le message vient en réalité de l’Agence des Revenus, qui connaît les données de chaque contribuable». À ce stade, si l’utilisateur en question remplit le formulaire en ligne, il remet les précieuses données recherchées entre les mains des cybercriminels.
Comment vous défendre contre une tentative de phishing visant à voler votre SPID
L’Agence du revenu a réitéré sa totale non-implication dans ces communications, comme cela arrive systématiquement dans des cas similaires. Pour défendez-vous contre les tentatives de phishing il ne faut jamais oublier que l’organisation n’envoie pas d’e-mails contenant des liens directs pour saisir les informations d’identification, c’est pourquoi vous devez vous méfier des messages demandant une action urgente. Que faire si vous recevez une communication qui veut vous faire croire qu’elle vient de l’Agence des Revenus, mais qui a en réalité une origine sinistre ? Voici le conseil de l’organisation :
Comme toujours, nous vous recommandons d’être très attentifs si vous recevez des e-mails de ce type, d’éviter de cliquer sur les liens fournis ou de fournir des informations personnelles et nous vous invitons à procéder immédiatement à leur élimination.
Que faire si vous ne parvenez pas à savoir si le message que vous recevez est authentique ou non ? Dans ce cas, mieux vaut prendre contact directement avec l’Agence des Revenus en se rendant personnellement à l’agence territoriale compétente (vous pouvez la retrouver en consultant cette page) ou, encore, en utilisant les coordonnées figurant sur la page de contact de l’organisme lui-même.