Attualità

Avviso INPS: mail con richiesta dati, inquietante cosa c’è scritto e cosa non devi assolutamente fare

Published by
Dario Quattro

Phishing, attenzione alle finte email: l’avviso dell’INPS sul rischio truffa, cosa si rischia, come funziona e a cosa stare attenti

Tiene banco, purtroppo, la tematica legata al rischio truffa, con tanti e diversi tentativi di raggiro in cui si può rischiare di finire, online. In questo caso è l’INPS, tramite i propri canali social, a fornire un importante avviso a cui prestare attenzione, facendo riferimento ad una truffa via mail che può compromettere il controllo del proprio smartphone o comunque dispositivo, mettendo in pericolo dati e non solo.

Avviso INPS, rischio truffa: come funziona e cosa si rischia – cityzen.it

Sulla piattaforma X, INPS sottolinea di stare attenti ad una truffa in corso via mail dove, si spiega, “si chiede di scaricare una falsa app INPS mobile”. A tal riguardo, nel messaggio si rimarca di fare il download dell’app in questione “soltanto dagli store autorizzati o tramite il sito INPS”. All’interno della medesima comunicazione, è presente un link che rimanda ad una pagina del portale CERT-AGID.

In tale pagina si approfondisce l’aspetto in questione, ovvero la “campagna malware SpyNote maschera come app INPS mobile“. Si legge che è in corso una “sofisticata campagna malevola”, il cui scopo si lega alla compromissione dei device Android in Italia mediante il malware SpyNote. Ad esser camuffata è l’app INPS Mobile, il cui scaricamento è disponibile su un dominio creato ad hoc di recente con l’obiettivo di ingannare gli utenti ignari.

Si tratta di una pagina di phishing, che è stata segnalata da D3lab al CERT-AGID, e che è ideata con accuratezza con loghi e contenuti che vanno a riprodurre quelli ufficiali dell’Istituto. Al contempo, all’interno dell’home page vi è una guida meticolosa, creata per lo scadimento e l’installazione della falsa applicazione INPS mobile.

Attenzione alla truffa, l’avviso dell’Istituto in merito alla mail e alla falsa app INPS mobile: i rischi e le conseguenze

Attenzione alta dunque sul phishing e sul rischio truffa inerente la falsa app INPS mobile, come si evince dalla comunicazione INPS su X, il cui download può mettere a rischio i dati delle ignare vittime. Come spiegato sulla pagina CERT-AGID, colui che aderisse alla false istruzioni e premesse sul tasto “scaricare”, riceverebbe un file APK sul device. Dopo averlo installato, il file richiede di svolgere un aggiornamento, sollecitando la concessione di alcuni permessi, ed in conclusione ad esser mostrata dall’app è la reale pagina del portale dell’Istituto.

All’interno dell’app vi è una sequenza di stringhe da poter decifrare attraverso una serie di funzioni annidate, le quali permettono di ricavare le chiavi dell’algoritmo AES utilizzato per cifrare le istruzioni. All’interno della suddetta pagina, tra le preziosi info sulla truffa, si illustra anche il codice Java impiegato per decifrare le stringhe.

L’APK è una copertura per nascondere il reale malware che, se installato sul device, inizia a caricare e installare un altro file APK, opportunamente nascosto nella cartella “assets”. Si tratta di Spynote, che si contraddistingue per le relative capacità invasive riguardo l’auto – abilitazione delle autorizzazioni, il rilevamento degli emulatori e l’esclusione delle applicazioni recenti.

E ancora, per la localizzazione del dispositivo, il keylogging, l’intercettazione di SMS, il furto di password e carte di credito. Ed infine, per la cattura schermata, la registrazione delle chiamate e le comunicazioni col C2 e l’installazione di altri payload. Gli attacchi, viene spiegato, hanno lo scopo di ottenere il totale controllo sui device Android, di sottrarre dati personali e condurre attività di spionaggio. 

Occorre quindi prestare grande attenzione in merito a campagne malevole come queste, accertandosi di fare il download dell’app di INPS solo e soltanto dagli store ufficiali o tramite la pagine istituzionale. Per gli altri aspetti da approfondire, è possibile consultare la pagina CERT-AGID.

Dario Quattro

Recent Posts

NEXTING, chiuso round da oltre 2 milioni per lo sviluppo di SportFace

La piattaforma si propone di diventare un punto di riferimento per le federazioni sportive, offrendo…

2 settimane ago

Uroclinic: innovazione ed eccellenza nell’urologia grazie al Robot ILY e alla formazione avanzata Ufficio Stampa

Recentemente, UroClinic ha ulteriormente innovato con l'introduzione del robot ILY, il primo sistema robotico per…

2 settimane ago

Tornano lo Zecchino d’oro e Topo Gigio. Il conduttore sarà Carlo Conti

Quest'anno, il festival non solo festeggia il suo ritorno, ma si inserisce anche in un…

4 settimane ago

Tamberi ospite a Belve: “Preferisco il basket al salto in alto”

L'intervista è stata un viaggio nell’anima di un atleta che ha vissuto alti e bassi,…

4 settimane ago

Mika tornerà in Italia nel 2025 con tre concerti

L'artista, il cui vero nome è Michael Holbrook Penniman Jr, ha condiviso le sue emozioni…

1 mese ago

Da venerdì 22 novembre sarà disponibile “Pericolosa”, il nuovo singolo di Mr. Rain

Scritto in collaborazione con Lorenzo Vizzini e Chris Zadley, il brano descrive una figura femminile…

1 mese ago