CERT-AgID

Sintesi riepilogativa delle campagne malevole nella settimana del 2 – 8 maggio 2026 In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 116 campagne malevole, di cui 78 con obiettivi italiani e 38 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 854 indicatori di compromissione (IoC) individuati. Eventi di particolare interesse: ➡️ Individuata una nuova campagna di smishing che sfrutta il nome di #INPS per rubare documenti e dati personali attraverso la falsa promessa di erogazioni statali. ➡️ Continuano le email malevole a tema “Salute”: il CERT-AGID ha scoperto e contrastato quattro campagne di phishing #SistemaTS e due a tema #FascicoloSanitarioElettronico. 💣 #IoC 854 🦠 #Malware 12 (famiglie) 🐟 #Phishing 35 (brand) ℹ️ Ulteriori approfondimenti 👇 🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-2-8-maggio/

🇮🇹 Contrastato un nuovo smishing a tema #INPS ⚠️ Il CERT-AGID ha individuato una nuova campagna malevola distribuita via SMS che sfrutta il nome di INPS per rubare documenti e dati personali. 🔎 Attraverso la falsa promessa di erogazioni statali, sono numerose le informazioni richieste dal sito fraudolento: ➖ 👤 Nome, cognome, codice fiscale, IBAN, telefono ed email ➖ 🪪 Fronte/retro di documenti identificativi ➖ 🤳 Video per falsa identificazione KYC 🚧 Azioni di contrasto ➤ L'Ente è stato informato della problematica. ➤ Il dominio malevolo è stato sospeso con il supporto del Registrar. ➤ Gli IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID. ℹ️ Download #IoC👇 🔗 https://cert-agid.gov.it/wp-content/uploads/2026/05/smishing_INPS_08-05-2026.json

Per la rubrica di AgID "Il digitale per tutti", oggi una pillola di #cybersecurity 🎯 4 semplici regole per difenderti da frodi e minacce informatiche. 1️⃣ ✉️ Verifica sempre il mittente prima di cliccare sui link ricevuti tramite SMS o e-mail. 2️⃣ 🌐 Non inserire dati personali, bancari o documenti d'identità prima di aver controllato che il sito sia ufficiale. 3️⃣ 🔐 Quando possibile, attiva l'autenticazione a più fattori per tutti i servizi web importanti che usi. 4️⃣ 🚨 Segnala eventuali messaggi sospetti all'indirizzo malware@cert-agid.gov.it Guarda il reel, metti in pratica questi consigli e naviga in sicurezza! 🔐 E tu, usi già l'autenticazione a due fattori?

Sintesi riepilogativa delle campagne malevole nella settimana del 25 – 30 aprile 2026 In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 138 campagne malevole, di cui 97 con obiettivi italiani e 41 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 847 indicatori di compromissione (IoC) individuati. Eventi di particolare interesse: ➡️ Scoperte email malevole che abusano del nome di SPID. ➡️ Individuato un phishing mirato contro il Consiglio Nazionale del Notariato. ➡️ Pubblicata un'analisi di sicurezza del CERT-AGID su LLM e MCP. ➡️ Segnalata una RCE critica che interessa GitHub e GitHub Enterprise Server. ➡️ Osservato un phishing mirato ai danni dell’Università di Palermo. 💣 #IoC 847 🦠 #Malware 12 (famiglie) 🐟 #Phishing 33 (brand) ℹ️ Ulteriori approfondimenti 👇 🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-25-30-aprile/

🇮🇹 Campagna fraudolenta a tema #SPID in corso ⚠️ Il CERT-AGID ha avuto evidenza di una campagna veicolata via email che sfrutta illecitamente il logo e il nome del Sistema Pubblico di Identità Digitale (#SPID). 🔎 Il messaggio si finge un avviso di sicurezza che informa il destinatario di una presunta apertura di un conto online presso la banca #Widiba tramite le proprie credenziali SPID, invitandolo a contattare urgentemente un numero verde per bloccare l'operazione. 🎯 Obiettivo La comunicazione sfrutta tecniche di social engineering per indurre la vittima a chiamare un numero associato già ad altre attività fraudolente e tentativi di truffa, in particolare a tema crypto-scam. 📌 Numero malevolo: +39 035 008 7505 🛡 Precauzioni ▪️ Usa solo numeri di telefono trovati su canali ufficiali. ▪️ Diffida dei messaggi che comunicano urgenza o pericolo.

🇮🇹 Phishing mirato ai danni del Consiglio Nazionale del Notariato in corso ⚠️ Il CERT-AGID ha individuato una pagina di #phishing mirato rivolta agli utenti del servizio di posta del Consiglio Nazionale del Notariato. Il sito presenta un modulo di accesso fraudolento finalizzato alla raccolta delle credenziali. 🧩 Ulteriori elementi tecnici Le analisi condotte hanno evidenziato, sul medesimo IP, la presenza di ulteriori host utilizzati per pagine di phishing a tema #Outlook e #WeTransfer. Questo elemento evidenzia come il finto portale faccia parte di una più ampia rete di credential harvesting gestita verosimilmente dal medesimo attore malevolo. 🚧 Azioni di contrasto L'Ente è stato informato della minaccia in corso, è stata richiesta la dismissione della risorsa malevola e gli Indicatori di Compromissione (IoC) sono stati diramati a tutti gli enti accreditati al feed del CERT-AGID. ℹ️ Download #IoC 👇 https://cert-agid.gov.it/wp-content/uploads/2026/04/phishing_Notariato_29-04-2026.json

GitHub e GitHub Enterprise Server: vulnerabilità RCE CVE-2026-3854 ✅ GitHub ha risolto una vulnerabilità critica, catalogata come CVE-2026-3854, che interessa sia l’infrastruttura cloud sia le installazioni on-premise di GitHub Enterprise Server (GHES). ⚙️ Inserendo dei comandi nascosti, l’attaccante riesce a disattivare le protezioni di sicurezza e a convincere il server a eseguire operazioni non autorizzate. 🔬Lo sfruttamento permette l’esecuzione di comandi lato server durante l’operazione di push, con output restituito al client, confermando l’esecuzione nel contesto dell’utente git. ℹ️ Ulteriori informazioni 👇 🔗 https://cert-agid.gov.it/news/github-e-github-enterprise-server-vulnerabilita-rce-cve-2026-3854/

🤖 LLM e Model Context Protocol: un’analisi di sicurezza del CERT-AgID ⚙ Nei sistemi #MCP la sicurezza si gioca sulla catena prompt → tool → azione, dove input generati da un #LLM possono tradursi direttamente in operazioni di rete. 🏣 Come in un ufficio postale che smette di controllare una busta solo perché sopra c’è scritto “http”, anche qui basta un controllo incompleto per far passare richieste non autorizzate. 📃 Nel paper analizziamo una vulnerabilità #SSRF reale, mostrando come un MCP pensato per la consultazione possa diventare un proxy di rete. 🔗 https://www.agid.gov.it/it/notizie/llm-e-model-context-protocol-unanalisi-di-sicurezza-del-cert-agid

🇮🇹 Phishing mirato all'università degli Studi di Palermo ⚠️ Il CERT-AGID ha individuato una nuova pagina di #phishing mirato, ospitata su Weebly, che si finge il portale per l'accesso all'area riservata dell'#Università di #Palermo. Il template utilizzato è identico a quello già osservato in recenti campagne contro altri atenei italiani, evidenziando un pattern presumibilmente riconducibile al medesimo attore malevolo. 🎯 Attraverso un falso modulo di login, che mostra anche i riferimenti al dominio del servizio di posta elettronica ufficiale dell'ateneo community.unipa.it, i criminali puntano a sottrarre le credenziali istituzionali degli utenti. 🚧 Azioni di contrasto #UniPa è stata informata della minaccia in corso, è stata richiesta la dismissione della pagina malevola a #Weebly e gli Indicatori di Compromissione sono stati diramati a tutti gli enti accreditati al feed del CERT-AGID. ℹ️ Download #IoC👇 https://cert-agid.gov.it/wp-content/uploads/2026/04/phishing_UniPa_27-04-2026.json

Sintesi riepilogativa delle campagne malevole nella settimana del 18 – 24 aprile 2026 In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 130 campagne malevole, di cui 96 con obiettivi italiani e 34 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1088 indicatori di compromissione (IoC) individuati. Eventi di particolare interesse: ➡️ Rilevata una campagna di phishing che abusa del nome e logo di #AgID per sottrarre credenziali #SPID dei cittadini. ➡️ Individuato un phishing mirato all'Università Federico II che utilizza una pagina falsa ospitata su Weebly. ➡️ Scoperta una campagna che sfrutta il nome del #Ministero della Salute per sottrarre dati personali e bancari. 💣 #IoC 1088 🦠 #Malware 15 (famiglie) 🐟 #Phishing 32 (brand) ℹ️ Ulteriori approfondimenti 👇 🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-18-24-aprile/

🇮🇹 Phishing mirato all'università Federico II di Napoli ⚠️ Il CERT-AGID ha avuto evidenza di una campagna di #phishing mirato, diretta agli studenti e al personale dell'Università degli Studi di Napoli #FedericoII. La pagina fraudolenta, realizzata e ospitata tramite Weebly, imita il portale di accesso all'area privata dell'ateneo. 🎯 I criminali mirano a impossessarsi delle credenziali istituzionali di studenti e dipendenti tramite un falso form di login. 🚧 Azioni di contrasto L'università è stata prontamente informata della minaccia in corso, è stata richiesta la dismissione della pagina malevola a #Weebly e gli Indicatori di Compromissione sono stati diramati a tutti gli enti accreditati al feed del CERT-AGID. ℹ️ Download #IoC👇 https://cert-agid.gov.it/wp-content/uploads/2026/04/phishing_FedericoII_24-04-2026.json

🇮🇹 Nuova campagna di phishing a tema #SPID ℹ️ Il CERT-AGID ha individuato una campagna di phishing che prende di mira gli utenti SPID, usando indebitamente il nome e il logo di AgID. ⚠️ Lo scopo dell’attacco è rubare le credenziali SPID: il dominio usato è malevolo e non è collegato ad AgID né al servizio SPID. 🚧 Azioni di contrasto ➡️ Richiesta la dismissione del dominio. ➡️ Gli #IoC sono stati già diramati alle organizzazioni pubbliche accreditate al Feed del CERT-AGID. 🛡 Precauzioni ▪️ Non fornire dati personali tramite link ricevuti: per aggiornare i dati relativi alle utenze SPID, accedere direttamente alla piattaforma del proprio gestore SPID. ▪️ Indicazioni su come comportarsi in caso di furto dei dati 👈 💣 Download #IoC 👇 🔗 https://cert-agid.gov.it/wp-content/uploads/2026/04/phishing_SPID_21-04-2026.json

🇮🇹 Campagna di #phishing a tema Ministero della Salute con furto di dati bancari ⚠️ Il CERT-AGID ha individuato una nuova campagna malevola via e-mail, che abusa del nome del #Ministero della #Salute per sottrarre dati anagrafici e della carta di credito. 📧 Le mail ingannevoli fanno riferimento a un presunto rimborso relativo a prestazioni sanitarie. 🔎 Il link presente nella comunicazione conduce a un sito che si finge un portale dei servizi online del Ministero. La pagina di "Verifica Identità" raccoglie: ▪️Nome, cognome, indirizzo e numero di telefono ▪️Numero della carta di credito, data di scadenza e CVV ✉️ Oggetto: "Lo stato del tuo rimborso" 🚧 Azioni di contrasto ➤ Richiesta la dismissione del dominio al registrar. ➤ L'Ente è stato informato della problematica. ➤ Gli #IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID. ℹ️ Download #IoC👇 🔗 https://cert-agid.gov.it/wp-content/uploads/2026/04/phishing_MinisteroSalute_20-04-2026.json

Sintesi riepilogativa delle campagne malevole nella settimana del 11 – 17 aprile 2026 In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 128 campagne malevole, di cui 96 con obiettivi italiani e 32 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1337 indicatori di compromissione (IoC) individuati. Eventi di particolare interesse: ➡️ Individuata una nuova campagna di smishing che abusa del nome di #INPS per rubare documenti personali e dati lavorativi e reddituali. ➡️ Osservate numerose campagne ingannevoli che abusano del nome di servizi ed enti pubblici. Nel mirino INPS, Agenzia delle Entrate, Tessera Sanitaria e Fascicolo Sanitario Elettronico. 💣 #IoC 1337 🦠 #Malware 14 (famiglie) 🐟 #Phishing 29 (brand) ℹ️ Ulteriori approfondimenti 👇 🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-11-17-aprile/

🇮🇹 Nuovo smishing a tema #INPS richiede cedolini, CUD e dati lavorativi ⚠️ Il CERT-AGID ha individuato una nuova campagna malevola distribuita via SMS che abusa del nome di INPS per rubare documenti e dati personali. 🔎 Il flusso si articola in più step per massimizzare la raccolta di dati: ➖ 👤 Nome, cognome, IBAN, telefono ed email ➖ 🏢 Dati lavorativi: datore (PA/Privato), tipo di contratto (determinato/indeterminato), inquadramento (dirigente/quadro) e data di assunzione ➖ 🪪 Fronte/retro di documenti identificativi ➖ 🤳 Selfie ➖ 🧾 2 cedolini recenti e CU (ex CUD) 🎭 Il sito mostra un pop-up che comunica urgenza: "Se non completi la verifica entro 24 ore o il tuo accesso verrà sospeso permanentemente", tipica tecnica di social engineering. 🚧 Azioni di contrasto ➤ Richiesta la dismissione del dominio al registrar. ➤ Gli IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID. ℹ️ Download #IoC👇 https://cert-agid.gov.it/wp-content/uploads/2026/04/smishing_INPS_16-04-2026.json

Sintesi riepilogativa delle campagne malevole nella settimana del 4 – 10 April 2026 In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 117 campagne malevole, di cui 90 con obiettivi italiani e 27 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 2313 indicatori di compromissione (IoC) individuati. Eventi di particolare interesse: ➡️ Pubblicata un'analisi di una sofisticata campagna di phishing che abusa dell'autenticazione tramite device code flow di #Microsoft. ➡️ Rilevata una campagna di phishing ai danni dell'Agenzia delle Entrate mirata in particolare alle Pubbliche Amministrazioni. 💣 #IoC 2313 🦠 #Malware 11 (famiglie) 🐟 #Phishing 29 (brand) ℹ️ Ulteriori approfondimenti 👇 🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-4-10-aprile/

🇮🇹 Sfruttati i loghi di #AgenziaEntrate e #AgID in un phishing mirato a Pubbliche Amministrazioni ⚠️ È stata rilevata una nuova campagna phishing ai danni dell’Agenzia delle entrate–Riscossione e finalizzato ad acquisire credenziali di accesso istituzionali. 🔎 La pagina web fraudolenta presenta alle vittime una falsa schermata di accesso all’area riservata dell'Ente che riproduce un finto modulo di login, estremamente similare a quello di SPID. 🚧 Azioni di contrasto ➡️ L'Ente è stato informato della problematica. ➡️ È stata richiesta la dismissione del dominio malevolo. ➡️ Gli Indicatori di Compromissione (IoC) sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID. ℹ️ Ulteriori approfondimenti 👇 🔗 https://cert-agid.gov.it/news/agenzia-delle-entrate-campagna-di-phishing-mirata-alle-pubbliche-amministrazioni/

🇮🇹 Phishing su Microsoft via device code flow. Automazione e AI ne amplificano la diffusione. Impatto sulla PA italiana ⚠️ Microsoft ha diramato un avviso globale su una nuova e sofisticata campagna di #phishing che sfrutta #IA per colpire gli account aziendali 🎯 Come CERT-AgID, abbiamo già raccolto prove che confermano come questa minaccia stia prendendo di mira anche la Pubblica Amministrazione italiana. 🔬 Gli attaccanti utilizzano automazioni su larga scala e strumenti basati su intelligenza artificiale per generare campagne sempre diverse, adattare i messaggi e gestire l’intero attacco in modo automatico. Questo rende l’operazione più veloce, più difficile da rilevare e replicabile su larga scala. ➤ Email come vettore iniziale ➤ Generazione dinamica del codice dispositivo ➤ Verifica della sessione e fase post-compromissione ℹ️ Approfondimenti 👇 🔗 https://cert-agid.gov.it/news/phishing-su-microsoft-via-device-code-flow-automazione-e-ai-ne-amplificano-la-diffusione-impatto-sulla-pa-italiana/

Sintesi riepilogativa delle campagne malevole nella settimana del 28 March – 3 April 2026 In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 114 campagne malevole, di cui 83 con obiettivi italiani e 31 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1170 indicatori di compromissione (IoC) individuati. Eventi di particolare interesse: ➡️ Pubblicata un'analisi tecnica relativa un rischio di configurazione nell’app-server di Codex. ➡️ Rilevata la pubblicazione di un archivio da 500 MB contenente documenti di identità italiani, rilasciato su un canale Telegram attivo dal novembre 2025 e firmato “Anymous Algeria”. 💣 #IoC 1170 🦠 #Malware 17 (famiglie) 🐟 #Phishing 26 (brand) ℹ️ Ulteriori approfondimenti 👇 🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-28-marzo-3-aprile/

🇮🇹 Anonymous Algeria rilascia ~500 MB di documenti d’identità italiani 🪪 Un canale Telegram che si firma con il nome “Anonymous Algeria” ha pubblicato un archivio contenente 500 file: scansioni di carte d’identità e passaporti e selfie identification. 🕵️ Un'analisi a campione dei metadati dei file indica che molti documenti risalgono al 2020-2021 e alcuni risultano essere già scaduti: potrebbe quindi trattarsi di dati riciclati, non necessariamente di una violazione recente. ⚠️ Il formato documento+selfie consente di superare i controlli #KYC adottati da diversi servizi online ed è lo stesso richiesto dai falsi siti #INPS usati nelle campagne di #smishing. Questo espone le vittime a vari rischi: furto d’identità digitale (anche creazione di SPID), apertura di conti, SIM swapping per intercettare codici 2FA e attacchi di spear phishing mirati. ℹ️ Ulteriori approfondimenti 👇 🔗 https://cert-agid.gov.it/news/anonymous-algeria-rilascia-oltre-500-mb-di-documenti-didentita-italiani-rubati/