Negli ultimi mesi, il numero di truffe legate allo SPID (Sistema Pubblico di Identità Digitale) è aumentato in modo preoccupante. Gli attaccanti sfruttano tecniche avanzate di phishing e social engineering per sottrarre credenziali, con conseguenze devastanti per le vittime. Come ethical hacker, voglio spiegarti i principali pericoli e come proteggerti.
La Truffa del Doppio SPID
Questo permette ai criminali di ottenere accessi non autorizzati ai servizi bancari, previdenziali e sanitari della vittima. La doppia registrazione SPID è una situazione in cui un utente (o un truffatore agendo illegalmente) riesce a registrare due o più identità digitali SPID per la stessa persona, sfruttando falle nei sistemi di verifica o manipolando i dati. Questa pratica può essere particolarmente pericolosa, soprattutto se l’utente primario non è consapevole della seconda registrazione. Vediamo nel dettaglio come funziona e quali sono le implicazioni.
Come avviene la doppia registrazione SPID?
- Furto di Identità:
- Un truffatore ruba i dati personali dell’utente legittimo, come il codice fiscale, il documento d’identità e altre informazioni necessarie per la registrazione SPID.
- Utilizzando questi dati falsificati, il truffatore procede con una nuova registrazione presso un Identity Provider (IdP) diverso da quello utilizzato dall’utente originale. Attualmente, esistono diversi IdP autorizzati (come Aruba, Poste Italiane, Sielte, ecc.), e questa frammentazione può facilitare il processo di creazione di un secondo SPID.
- Sfruttamento delle Falle nei Sistemi di Verifica:
- Alcuni Identity Provider potrebbero non effettuare verifiche incrociate sufficientemente rigorose tra loro, permettendo a un utente (o truffatore) di registrarsi nuovamente con gli stessi dati anagrafici.
- In alcuni casi, i truffatori possono fornire documenti falsificati o alterati per superare i controlli di sicurezza.
- Mancanza di Consapevolezza dell’Utente Primario:
- L’utente legittimo potrebbe non accorgersi che una seconda registrazione è stata effettuata, poiché i sistemi SPID non inviano notifiche automatiche quando viene creato un nuovo account con gli stessi dati anagrafici.
- Di conseguenza, il truffatore ha libero accesso ai servizi online protetti dal SPID senza che la vittima ne sia a conoscenza.
Vishing: Il Phishing Telefonico
Il vishing (voice phishing) consiste in chiamate fraudolente da parte di finti operatori di banche, INPS o enti pubblici. Questi criminali spingono l’utente a fornire credenziali o OTP, facendo leva sull’urgenza o su presunte irregolarità nel profilo SPID.
Phishing tramite Falsi Siti SPID
Un’altra tecnica comune è la creazione di siti web identici a quelli ufficiali. L’utente, ingannato da email o SMS con link falsificati, inserisce le proprie credenziali, permettendo ai truffatori di prenderne il controllo. Questi siti spesso utilizzano domini simili agli originali, con piccole variazioni difficili da notare a prima vista.
Come Difendersi:
Per proteggere il tuo SPID e la tua identità digitale, segui queste buone pratiche:
- Non condividere mai le tue credenziali SPID o i codici OTP con nessuno, specialmente in risposta a email, chiamate o SMS non richiesti.
- Verifica l’autenticità delle comunicazioni contattando direttamente l’ente tramite i canali ufficiali.
- Controlla sempre il dominio dei siti SPID prima di inserire dati sensibili. Preferisci digitare manualmente l’URL piuttosto che cliccare su link ricevuti via email o SMS.
- Attiva notifiche di sicurezza su account bancari e servizi online per essere avvisato di accessi sospetti.
- Utilizza password complesse e uniche per ogni servizio, cambiandole periodicamente.
- Abilita l’autenticazione a due fattori (2FA), dove possibile, per un ulteriore livello di protezione.
- Monitora periodicamente gli accessi al tuo SPID tramite i log forniti dai provider di identità digitale.
Ulteriori informazioni:
Le truffe legate allo SPID sono in costante evoluzione e mirano a colpire chiunque non sia adeguatamente informato. La consapevolezza e la prudenza sono le armi migliori per difendersi. Diffida sempre di richieste urgenti di dati sensibili e adotta misure di sicurezza per proteggere la tua identità digitale. In un mondo dove la sicurezza informatica è sempre più cruciale, la conoscenza è la tua miglior difesa.
