CheckBlackList

Accesso Agenzia Entrate a $500? Falsa Allerta dal Dark Web

Accesso Agenzia Entrate a $500? Falsa Allerta dal Dark Web

Per chi ha fretta

Un annuncio comparso su un noto forum underground metteva in vendita l’accesso al pannello di amministrazione dell’Agenzia delle Entrate italiana per l’anomala cifra di soli 500 dollari. Un’analisi della minaccia ha ridimensionato drasticamente la sua portata: l’offerta è quasi certamente un tentativo di frode (scam) all’interno della stessa comunità cybercriminale. La causa della probabile inautenticità risiede nelle robuste difese attive dell’ente italiano: l’accesso ai portali è protetto obbligatoriamente da sistemi di autenticazione forte come SPID, CIE o CNS, e l’Autenticazione Multi-Fattore (MFA) bloccherebbe ogni tentativo di accesso anche in possesso di credenziali rubate tramite malware (Infostealer). L’episodio serve da promemoria sull’importanza cruciale di abilitare sempre l’MFA.

Minaccia Ridimensionata: L’Accesso Fittizio all’Agenzia delle Entrate sul Dark Web

Un recente allarme di sicurezza ha richiamato l’attenzione sull’infrastruttura informatica della Pubblica Amministrazione italiana. L’11 dicembre 2025, un utente su un noto forum del Dark Web, identificato come “espansive,” ha tentato di mettere in vendita un presunto accesso al pannello di amministrazione dell’Agenzia delle Entrate.

Nonostante il titolo sensazionalistico, un’analisi approfondita della situazione e delle attuali difese tecnologiche italiane suggerisce che la presunta minaccia sia un tentativo di truffa o la vendita di dati obsoleti.

Le Incongruenze del Mercato Cybercriminale

La prima e più evidente anomalia che smonta la credibilità dell’offerta è il prezzo irrisorio richiesto: appena 500 dollari. Nel mercato underground del cybercrime, l’accesso persistente e funzionante con privilegi di amministratore (Admin Panel o RCE, Remote Code Execution) a un’infrastruttura governativa critica di un Paese G7, non verrebbe mai venduto per una cifra così bassa.

Accessi di tale calibro vengono negoziati in trattative private con cifre a tre o quattro zeri o direttamente sfruttati dagli stessi attaccanti per attacchi più redditizi, come l’esfiltrazione massiva di dati sensibili o l’implementazione di ransomware. La richiesta economica e l’utilizzo di canali di contatto rapidi come Telegram indicano una strategia più orientata alla monetizzazione veloce di materiale non verificato.

Il Muro Tecnologico: SPID e MFA

Il fattore tecnico che vanifica la maggior parte degli attacchi basati sul furto di credenziali è l’adozione dell’Autenticazione Forte da parte della Pubblica Amministrazione italiana.

L’accesso ai portali dell’Agenzia delle Entrate, sia per i cittadini che per gli operatori (come commercialisti o dipendenti), è obbligatoriamente protetto da livelli di sicurezza elevati che vanno ben oltre la semplice coppia username/password. L’ingresso è subordinato all’uso di:

  • SPID (Sistema Pubblico di Identità Digitale) di livello 2 o 3.
  • CIE (Carta d’Identità Elettronica).
  • CNS (Carta Nazionale dei Servizi).

Inoltre, per gli account interni e amministrativi, la prassi consolidata prevede l’obbligo della MFA (Multi-Factor Authentication). Questo significa che anche se l’attaccante fosse in possesso delle credenziali corrette (rubate), si troverebbe bloccato dalla richiesta di un codice OTP (One Time Password) inviato sul dispositivo fisico del legittimo proprietario.

L’Ipotesi più Credibile: Dati di Scarto da Infostealer

È altamente probabile che le credenziali messe in vendita non provengano da una violazione diretta dei sistemi dell’Agenzia, ma siano log grezzi ottenuti tramite un Infostealer.

Gli Infostealer sono malware che infettano i computer di utenti finali (come commercialisti o dipendenti) e rubano tutti i dati salvati nel browser, inclusi cookie, cronologia e credenziali salvate per comodità. L’attaccante vede semplicemente la stringa “agenziaentrate.gov.it” associata a un login nel log rubato e tenta di venderla automaticamente come un accesso “funzionante”, sapendo che l’MFA renderà l’accesso inutilizzabile al primo tentativo. Si tratta, dunque, di una probabile frode diretta contro altri criminali informatici meno esperti.

Consigli per la Sicurezza Digitale e Remediation

Questo episodio sottolinea che le difese più efficaci contro il furto di credenziali non risiedono nell’impenetrabilità assoluta dei sistemi governativi, ma nella protezione degli accessi degli utenti finali.

Prevenzione (Per Cittadini e Operatori):

  1. Abilita l’MFA/2FA Ovunque: Attiva l’autenticazione a due o più fattori (2FA/MFA) su tutti gli account critici, inclusi email, servizi bancari e social media. Le credenziali rubate tramite Infostealer diventano quasi inutili se protette da OTP.
  2. Non Salvare Credenziali nel Browser: Evita di salvare username e password direttamente nel browser (Chrome, Firefox, ecc.). Usa gestori di password dedicati e sicuri che criptano i dati.
  3. Software Aggiornato: Mantieni sempre aggiornati il sistema operativo, il browser e il software antivirus per prevenire infezioni da Infostealer.
  4. Massima Cautela col Phishing: Non cliccare mai su link sospetti o scaricare allegati da email non verificate, che sono i canali principali di diffusione dei malware Infostealer.

Rimedi se si è caduti vittima di Infostealer:

  1. Disconnessione e Scansione: Disconnetti immediatamente il dispositivo infetto dalla rete e esegui una scansione completa con un antivirus affidabile per rimuovere il malware.
  2. Cambio Password Multiplo: Assumi che tutte le credenziali salvate nel browser siano state compromesse. Cambia immediatamente le password di tutti i servizi, iniziando dall’e-mail principale e dagli account bancari.
  3. Revoca Sessioni: Se possibile, revoca le sessioni attive su tutti i servizi critici, forzando un nuovo login su tutti i dispositivi.

#checkblacklist #MFA #Infostealer #CyberSicurezzaPA

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *