Phishing via PEC: nuove truffe certificate

da | Giu 11, 2025 | Highlights

La PEC (Posta Elettronica Certificata) sono ormai parte integrante della vita delle aziende italiane e, data la percezione di grande sicurezza, è usata comunemente e tranquillamente per inviare comunicazioni ufficiali, documenti sensibili e, soprattutto, le fatture elettroniche.

Proprio per questo, la PEC è diventata un bersaglio privilegiato per i cybercriminali, che cercano di spingere le aziende a inviare dati riservati o a effettuare bonifici verso conti bancari fraudolenti, attraverso falsi messaggi che imitano perfettamente la corrispondenza ufficiale.

Come funziona la truffa via PEC

Sono utilizzate caselle PEC “hackerate” per inviare email dall’apparenza legittima.

Ecco lo schema tipico, studiato per creare urgenza, fare leva sulla fiducia nei confronti della PEC e impedire una verifica accurata:

  • Spoofing del mittente: il messaggio arriva da un indirizzo PEC reale, spesso appartenente a un professionista o a un’azienda, ma controllato dai truffatori
  • Finta comunicazione ufficiale: il testo annuncia un cambio dell’indirizzo per l’invio delle fatture elettroniche al Sistema di Interscambio (SdI), gestito dagli hacker
  • Allegati mancanti o falsificati: viene menzionato un allegato firmato digitalmente, spesso con estensione .p7m, che però non è presente o è dannoso
  • Tracciamento occulto: il messaggio contiene script invisibili che tracciano l’apertura dell’email e l’attività dell’utente, puntando a domini controllati dagli hacker

Una minaccia in crescita

Il CERT-AGID (Computer Emergency Response Team della Pubblica Amministrazione) segnala un costante aumento di casi in cui le PEC sono usate per diffondere malware come AsyncRat, sfruttando tecniche avanzate come il Domain Generation Algorithm (DGA) per aggirare i controlli di sicurezza.

Come riconoscere i messaggi sospetti

  • Oggetto simile a: “Invio File <XXXXXXXXXX>”, con una stringa di 10 cifre casuali
  • Allegati apparentemente firmati digitalmente, con estensione .p7m, che in realtà non esistono
  • Richieste urgenti di modifica dell’indirizzo SdI, spesso senza una giustificazione plausibile.

Cosa fare per proteggersi dai Phishing?

  1. Verifica sempre i mittenti e i link: passa il mouse sopra gli URL prima di cliccare e confronta l’indirizzo mostrato con quello reale
  2. Evita di cliccare sui link direttamente: meglio copiarli e analizzarli in un ambiente sicuro, senza aprirli
  3. Non aprire allegati sospetti: soprattutto se non attesi o non coerenti con le attività in corso
  4. Usa VPN evolute: alcune VPN offrono protezioni aggiuntive contro siti malevoli e phishing
  5. Forma il personale: la security awareness è fondamentale; organizza corsi formativi per insegnare a riconoscere le minacce e reagire in modo corretto
  6. Monitora le caselle PEC: controlla regolarmente le configurazioni, l’accesso e le anomalie nei flussi di comunicazione

Protezione proattiva, non solo reattiva

L’unico modo per proteggere davvero l’azienda è quello di adottare un approccio proattivo, costruendo una cultura aziendale della sicurezza informatica. I-TEAM è a disposizione per aiutare le aziende a valutare i rischi, adottare misure concrete e formare il personale.


Perché la sicurezza non è un optional.

Condividi