Negli ultimi giorni è stata osservata una nuova campagna di phishing che sfrutta indebitamente il nome e l’immagine del Ministero della Salute per indurre i cittadini a rinnovare la tessera sanitaria.

Le comunicazioni, veicolate tramite e-mail, si presentano come notifiche ufficiali e invitano l’utente ad agire con urgenza per garantire la fruizione continuativa dei servizi sanitari. In realtà si tratta di messaggi fraudolenti, non riconducibili in alcun modo all’amministrazione pubblica, ma finalizzati alla raccolta illecita di dati personali e sensibili.

Questa tipologia di attacco rientra nel filone del phishing a tema istituzionale, particolarmente efficace perché fa leva sulla fiducia verso enti pubblici e sull’ansia legata alla perdita di servizi essenziali. Sanità, fisco e previdenza sono infatti da anni tra i temi più utilizzati nelle campagne di social engineering, proprio per la loro capacità di colpire trasversalmente la popolazione.

Pertanto, la scelta del rinnovo della tessera sanitaria non è casuale. Molti cittadini non conoscono nel dettaglio le modalità di emissione e rinnovo del documento, né la sua durata e questa scarsa consapevolezza viene sfruttata dagli attaccanti per creare un senso di urgenza e legittimità, inducendo l’utente a seguire le istruzioni senza le dovute verifiche.

In realtà, lo ricordiamo, la tessera sanitaria, ha una validità di sei anni e alla sua scadenza ne viene inviata una nuova automaticamente all’indirizzo di residenza risultante all’anagrafe tributaria.

Falso rinnovo della tessera sanitaria: il meccanismo della truffa

Come riportato nel bollettino del CERT-AgID, il messaggio e-mail invita il destinatario a cliccare su un pulsante “RINNOVA ORA LA TUA TESSERA” per procedere al presunto rinnovo della tessera sanitaria.

In realtà, il link rimanda a un sito web contraffatto che riproduce in modo più o meno fedele l’aspetto grafico della piattaforma istituzionale, utilizzando loghi, colori e layout simili a quelli reali.

Fonte: CERT-AgID.

Una volta raggiunto il sito, l’utente viene guidato alla compilazione di un modulo in cui sono richiesti dati personali, tra cui nome, cognome, codice fiscale, data di nascita, indirizzo di residenza, numero di telefono e indirizzo e-mail.

Fonte: CERT-AgID.

Si tratta di un sito ospitato su un dominio di recente registrazione (https://latesserasanitaria[.]com) che non ha alcun legame con il dominio della pubblica amministrazione. Anche la presenza di un certificato TLS non è garanzia di legittimità, ma solo usato come ulteriore elemento di rassicurazione per la vittima.

Fonte: DomainTools.

I ricercatori del CERT-AgID hanno nel frattempo segnalato l’individuazione di un ulteriore dominio malevolo “sanitatessera[.]com”, riconducibile alla medesima campagna e con l’introduzione di una seconda fase della truffa.

Fonte: DomainTools.

Oltre alla pagina finalizzata alla raccolta di dati personali e identificativi, è stata infatti riscontrata una procedura che simula la spedizione della nuova tessera sanitaria.

In questo passaggio viene presentato un form per la scelta del corriere e viene richiesto l’inserimento dei dati della carta di credito, con l’obiettivo di sottrarre informazioni finanziarie e procedere a transazioni non autorizzate.

Questo sviluppo conferma il passaggio da una campagna di semplice phishing informativo a una frode strutturata a doppio stadio, orientata sia al furto di identità sia alla monetizzazione diretta.

Fonte: CERT-AgID.

Possibile finalità e utilizzo dei dati sottratti

A differenza di ciò che si può credere, i dati raccolti attraverso questi moduli fraudolenti rappresentano un patrimonio di grande valore per i cyber criminali.

Le informazioni personali potrebbero essere rivendute nei circuiti underground, utilizzate per campagne di phishing mirate successive, per la clonazione di documenti o per tentativi di frode più sofisticati, come l’apertura di conti, la richiesta di prestiti o l’accesso a servizi online che prevedono l’identificazione dell’utente.

In alcuni casi, i dati ottenuti potrebbero anche venire aggregati con altre violazioni precedenti per costruire profili completi delle vittime, aumentando significativamente l’efficacia di attacchi futuri.

Questo tipo di frode potrebbe quindi non essere un episodio isolato, ma parte di una filiera criminale strutturata.

Segnali d’allarme e consigli

Dal punto di vista difensivo, esistono diversi elementi che possono aiutare a riconoscere questo tipo di truffa.

Innanzitutto, le e-mail non provengono da domini istituzionali ufficiali e spesso presentano incongruenze nell’indirizzo del mittente e i link incorporati non rimandano ai domini legittimi, ma a indirizzi sconosciuti o con nomi simili a quelli reali (typosquatting).

Un altro segnale è la richiesta di inserire dati sensibili tramite moduli online non riconducibili ai canali legittimi.

Inoltre, la presenza di errori grammaticali, traduzioni approssimative o formattazioni incoerenti può costituire un ulteriore indizio, anche se le campagne più recenti mostrano oramai una qualità testuale sempre migliore.

Pertanto, in presenza di e-mail sospette che, come in questo caso, invitano al rinnovo della tessera sanitaria, la condotta corretta è non cliccare sui link, non fornire alcun dato personale e cancellare immediatamente il messaggio.

Per qualsiasi esigenza legata alla tessera sanitaria è necessario fare riferimento esclusivamente al sito dell’Agenzia delle Entrate.