Phishing SPID contro le Pubbliche Amministrazioni: CERT-AGID smonta la campagna che usa siti WordPress legittimi per rubare credenziali istituzionali

Un’istanza WordPress compromessa, loghi dell’Agenzia delle Entrate e del Sistema Pubblico d’Identità Digitale riprodotti con precisione millimetrica, link personalizzati con l’email della vittima pre-compilata: CERT-AGID ha rilevato una nuova campagna di phishing che prende di mira le Pubbliche Amministrazioni italiane, con l’obiettivo di sottrarre credenziali SPID e accessi istituzionali. L’analisi tecnica rivela un attacco che sfrutta l’infrastruttura legittima per eludere i filtri antispam e conquistare la fiducia delle vittime.

Il Vettore: un’infrastruttura legittima trasformata in arma

Il primo elemento che distingue questa campagna dalle operazioni di phishing più rudimentali è la scelta dell’infrastruttura. Gli attaccanti non hanno registrato domini malevoli evidenti — hanno invece compromesso un server WordPress legittimo (documentato all’indirizzo wp-dev.typhur.com/agenziaentrate/), sfruttandone la reputazione consolidata per eludere i filtri antispam e i sistemi di blacklist automatici.

Un sito web legittimo offre agli attaccanti tre vantaggi competitivi fondamentali: certificati HTTPS validi che mostrano il lucchetto verde nel browser delle vittime, una reputazione di dominio già stabilita che bypassa i filtri di sicurezza email, e la capacità di ospitare contenuto HTML arbitrario che replica fedelmente le interfacce istituzionali italiane. Il vettore di compromissione del WordPress è quasi certamente legato a plugin o temi non aggiornati — il vettore più comune per questo tipo di hijacking.

Anatomia dell’attacco: come funziona la truffa SPID

La catena di attacco documentata da CERT-AGID si articola in più fasi progettate per massimizzare la credibilità e minimizzare i campanelli d’allarme per la vittima:

• Fase 1 — Email di spearphishing personalizzata: la vittima riceve una comunicazione che la invita ad accedere alla propria area riservata dell’Agenzia delle Entrate-Riscossione. Il link contenuto nell’email è personalizzato e include già l’indirizzo email del destinatario come parametro URL.
• Fase 2 — Pagina di login pre-compilata: cliccando il link, la vittima atterra su una pagina che replica fedelmente il portale dell’Agenzia delle Entrate, completa di loghi ufficiali di AdE, SPID e AgID. La casella email è già compilata con il proprio indirizzo — un elemento che abbassa drasticamente il livello di sospetto e aumenta la probabilità di inserimento della password.
• Fase 3 — Harvesting delle credenziali: al momento dell’invio, la password viene trasmessa ai server degli attaccanti. La vittima viene quindi reindirizzata al sito reale dell’Agenzia delle Entrate dove appare un messaggio di errore simulato — un “errore di sistema generico” che rende plausibile la necessità di reinserire le credenziali.
• Fase 4 — Accesso istituzionale: con le credenziali SPID compromesse, gli attaccanti ottengono potenzialmente accesso a tutti i servizi della Pubblica Amministrazione collegati all’identità digitale: portali fiscali, documenti istituzionali, sistemi interni delle PA.

Target primario: Pubbliche Amministrazioni

L’aspetto più allarmante della campagna, come sottolineato da CERT-AGID, è la natura del target primario: non utenti consumer generici, ma dipendenti e funzionari delle Pubbliche Amministrazioni italiane. Questa scelta non è casuale. Le credenziali SPID di un funzionario PA offrono un accesso privilegiato a sistemi interni, documenti riservati e portali interistituzionali che un account privato non avrebbe. La compromissione di un account PA può diventare il punto di partenza per movimenti laterali all’interno dei sistemi governativi, attacchi BEC (Business Email Compromise) verso altre istituzioni, e persino accessi a dati sensibili di cittadini.

MITRE ATT&CK: mappatura delle tecniche

• T1566.002 — Phishing: Spearphishing Link: link personalizzati con l’email della vittima pre-inserita per massimizzare la credibilità
• T1078 — Valid Accounts: compromissione di account SPID legittimi per accesso a sistemi istituzionali
• T1190 — Exploit Public-Facing Application: compromissione del server WordPress tramite vulnerabilità in plugin/temi per uso come infrastruttura di phishing
• T1036 — Masquerading: replica accurata dell’interfaccia di portali governativi legittimi (AdE, SPID, AgID)
• T1589.002 — Gather Victim Identity Information: Email Addresses: utilizzo di indirizzi email pre-identificati nei link personalizzati

Indicatori di Compromissione (IoC)

# Domini malevoli identificati
agenziadelleentrate.live          # Dominio typosquatting principale
wp-dev.typhur.com/agenziaentrate/ # WordPress compromesso usato come host
# Dominio mittente email
@propiski.com                     # Utilizzato come sender domain nelle email di phishing
# Dominio di reindirizzamento
sushicool.net                     # Usato come redirect dopo la sottrazione delle credenziali
# File IoC ufficiale CERT-AGID
phishing_AdE_10_04_26.json        # Disponibile tramite feed ufficiale CERT-AGID

Il contesto: una campagna seriale contro l’Identità Digitale italiana

Questa campagna non nasce dal nulla. L’Agenzia delle Entrate ha emesso un avviso ufficiale già il 30 marzo 2026, segnalando campagne attive che sfruttano impropriamente i loghi di AdE, SPID e AgID. La storia recente mostra un pattern ricorrente: gli attori malevoli hanno identificato nel sistema SPID un bersaglio appetibile perché rappresenta la chiave di accesso unificata ai servizi digitali della PA italiana. Compromettere uno SPID significa potenzialmente accedere a decine di portali governativi con un’unica credenziale.

La tecnica di compromissione di siti WordPress legittimi come piattaforma di phishing è altrettanto consolidata: consente di sfruttare la reputazione del dominio ospitante e i certificati TLS validi per superare i controlli automatici, scaricando il costo di mantenimento dell’infrastruttura sull’ignaro proprietario del sito compromesso.

Raccomandazioni per i difensori e le Pubbliche Amministrazioni

• MFA obbligatoria su tutti gli account istituzionali: l’autenticazione a due fattori vanifica il phishing di credenziali anche quando la vittima inserisce username e password sulla pagina falsa
• Formazione specifica sul phishing SPID: i dipendenti PA devono sapere che l’Agenzia delle Entrate non chiede mai credenziali via email; l’accesso ai portali fiscali va effettuato sempre digitando manualmente l’URL o utilizzando bookmark certificati
• Monitoraggio del feed IoC CERT-AGID: l’integrazione automatica del feed JSON di CERT-AGID nei propri sistemi di sicurezza permette il blocco in tempo reale dei domini malevoli identificati
• Verifica dell’URL nel browser: prima di inserire qualsiasi credenziale SPID, verificare che l’URL nella barra del browser corrisponda esattamente al dominio ufficiale (agenziaentrate.gov.it)
• Audit CMS e aggiornamento plugin: le organizzazioni che gestiscono siti WordPress devono implementare processi di patch management rigorosi per evitare che le proprie infrastrutture vengano weaponizzate come piattaforme di phishing
• Segnalazione a CERT-AGID: eventuali email sospette che impersonano l’Agenzia delle Entrate vanno segnalate immediatamente all’indirizzo dedicato di CERT-AGID per l’aggiornamento del feed IoC

Il CERT-AGID ha già avvisato le organizzazioni coinvolte e richiesto il takedown delle pagine di phishing identificate. Tuttavia, data la natura delle campagne di phishing — che spesso cambiano rapidamente infrastruttura per sopravvivere ai takedown — il monitoraggio continuo rimane essenziale.