🇮🇹 Campagna di phishing a tema Agenzia delle Entrate in corso
⚠️ Il CERT-AGID ha avuto evidenza di una campagna di #phishing veicolata tramite email che sfrutta il nome e il logo di AdE per indurre le vittime a fornire dati personali e bancari. La pagina fraudolenta simula il portale ufficiale dell'Agenzia e prospetta un presunto rimborso di 115.50 EUR, invitando l'utente a compilare un modulo per ottenere l'accredito.
✉️ Oggetto: "Notifica di rimborso fiscale - ITA286771593".
🎯 Obiettivo: sottrarre dati anagrafici e della carta di credito.
🚧 Azioni di contrasto
➡️ L'Agenzia è stata informata della problematica in corso.
➡️ È stata richiesta la dismissione del dominio malevolo al registrar.
➡️ Gli indicatori di compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/12/phishing_AdE_04-12-2025.json
⚠️ Il CERT-AGID ha avuto evidenza di una campagna di #phishing veicolata tramite email che sfrutta il nome e il logo di AdE per indurre le vittime a fornire dati personali e bancari. La pagina fraudolenta simula il portale ufficiale dell'Agenzia e prospetta un presunto rimborso di 115.50 EUR, invitando l'utente a compilare un modulo per ottenere l'accredito.
✉️ Oggetto: "Notifica di rimborso fiscale - ITA286771593".
🎯 Obiettivo: sottrarre dati anagrafici e della carta di credito.
🚧 Azioni di contrasto
➡️ L'Agenzia è stata informata della problematica in corso.
➡️ È stata richiesta la dismissione del dominio malevolo al registrar.
➡️ Gli indicatori di compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/12/phishing_AdE_04-12-2025.json
Sintesi riepilogativa delle campagne malevole nella settimana del 29 novembre – 5 dicembre 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 77 campagne malevole, di cui 43 con obiettivi italiani e 34 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1615 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di phishing che sfrutta nome e insegne del Governo italiano e della Presidenza del Consiglio dei Ministri per sottrarre credenziali di accesso home banking.
➡️ Rilevata una campagna di phishing mail che sfrutta il nome e il logo dell’Agenzia delle Entrate e relativa a un presunto rimborso di 115,50€.
💣 #IoC 1615
🦠 #Malware 18 (famiglie)
🐟 #Phishing 25 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-29-novembre-5-dicembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 77 campagne malevole, di cui 43 con obiettivi italiani e 34 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1615 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di phishing che sfrutta nome e insegne del Governo italiano e della Presidenza del Consiglio dei Ministri per sottrarre credenziali di accesso home banking.
➡️ Rilevata una campagna di phishing mail che sfrutta il nome e il logo dell’Agenzia delle Entrate e relativa a un presunto rimborso di 115,50€.
💣 #IoC 1615
🦠 #Malware 18 (famiglie)
🐟 #Phishing 25 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-29-novembre-5-dicembre/
Vulnerabilità critica in React Server Components e Next.js
⚠️ CVE-2025-55182
È in corso lo sfruttamento di una vulnerabilità RCE grave che impatta React 19 (Server Components) e le versioni recenti di Next.js che li utilizzano. La vulnerabilità è di dominio pubblico e sono disponibili exploit funzionanti.
Dettagli ufficiali:
▪️React: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
▪️Next.js: https://nextjs.org/blog/CVE-2025-66478
🛡 Si raccomanda di applicare subito le patch rilasciate e verificare eventuali progetti esposti.
⚠️ CVE-2025-55182
È in corso lo sfruttamento di una vulnerabilità RCE grave che impatta React 19 (Server Components) e le versioni recenti di Next.js che li utilizzano. La vulnerabilità è di dominio pubblico e sono disponibili exploit funzionanti.
Dettagli ufficiali:
▪️React: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
▪️Next.js: https://nextjs.org/blog/CVE-2025-66478
🛡 Si raccomanda di applicare subito le patch rilasciate e verificare eventuali progetti esposti.
🇮🇹 Campagna malevola in atto abusa di utenze PA tramite allegati PDF e accesso a Figma
⚠️ È in corso una campagna malevola che sfrutta account email compromessi di utenti appartenenti alla Pubblica Amministrazione ed è diretta, in modo massivo, verso altri utenti della PA.
✉️ Campagna attiva dall’8 dicembre.
👥 Destinatari in CCN.
📎 Allegati PDF con link a #Figma.
➡️ Quante amministrazioni risultano compromesse?
➡️ Cosa succede aprendo il file PDF?
➡️ Alcuni scenari plausibili
➡️ Azioni di contrasto
ℹ️ Per approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/campagna-malevola-in-atto-abusa-di-utenze-pa-tramite-allegati-pdf-e-accesso-a-figma/
⚠️ È in corso una campagna malevola che sfrutta account email compromessi di utenti appartenenti alla Pubblica Amministrazione ed è diretta, in modo massivo, verso altri utenti della PA.
✉️ Campagna attiva dall’8 dicembre.
👥 Destinatari in CCN.
📎 Allegati PDF con link a #Figma.
➡️ Quante amministrazioni risultano compromesse?
➡️ Cosa succede aprendo il file PDF?
➡️ Alcuni scenari plausibili
➡️ Azioni di contrasto
ℹ️ Per approfondimenti e #IoC 👇
🔗 https://cert-agid.gov.it/news/campagna-malevola-in-atto-abusa-di-utenze-pa-tramite-allegati-pdf-e-accesso-a-figma/
🇮🇹 Campagna di phishing #Microsoft sfrutta il nome del #MUR
⚠️ È stata rilevata una campagna di phishing mirata a dipendenti e studenti di atenei italiani e finalizzata ad acquisire le credenziali di account istituzionali.
🔬 La comunicazione, avente oggetto "R: Urgente - Elenco dei borsisti", invita i destinatari a visitare una pagina linkata per consultare la presunta documentazione pubblicata. Il collegamento porta a una pagina contenente il logo del Ministero dell'Università e della Ricerca che a sua volta rimanda a una finta pagina di login Microsoft dove viene chiesto di inserire le proprie credenziali.
🚧 Azioni di contrasto
➡️ Gli Enti interessati sono stati informati della problematica in corso.
➡️ È stata richiesta la dismissione dei domini malevoli al registrar.
➡️ Gli indicatori di compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/12/phishing_mur_11_12_2025.json
⚠️ È stata rilevata una campagna di phishing mirata a dipendenti e studenti di atenei italiani e finalizzata ad acquisire le credenziali di account istituzionali.
🔬 La comunicazione, avente oggetto "R: Urgente - Elenco dei borsisti", invita i destinatari a visitare una pagina linkata per consultare la presunta documentazione pubblicata. Il collegamento porta a una pagina contenente il logo del Ministero dell'Università e della Ricerca che a sua volta rimanda a una finta pagina di login Microsoft dove viene chiesto di inserire le proprie credenziali.
🚧 Azioni di contrasto
➡️ Gli Enti interessati sono stati informati della problematica in corso.
➡️ È stata richiesta la dismissione dei domini malevoli al registrar.
➡️ Gli indicatori di compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/12/phishing_mur_11_12_2025.json
🇮🇹 Nuova campagna di phishing a tema Polizia di Stato
⚠️ È stata individuata una campagna di phishing che sfrutta nome e logo della #PoliziaDiStato per impossessarsi delle credenziali email delle vittime. La campagna utlizza un endpoint API di #Webflow per inviare i dati acquisiti.
🚧 Azioni di contrasto
➡️ Gli Enti interessati sono stati informati della problematica in corso.
➡️ È stata richiesta la dismissione del sottodominio malevolo.
➡️ Gli indicatori di compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
🛡 Si raccomanda di non cliccare su link sospetti e di verificare l'autenticità dei siti visitati. È possibile segnalare le comunicazioni dubbie a malware@cert-agid.gov.it.
ℹ️ Download IoC👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/12/phishing_pds_12_12_2025.json
⚠️ È stata individuata una campagna di phishing che sfrutta nome e logo della #PoliziaDiStato per impossessarsi delle credenziali email delle vittime. La campagna utlizza un endpoint API di #Webflow per inviare i dati acquisiti.
🚧 Azioni di contrasto
➡️ Gli Enti interessati sono stati informati della problematica in corso.
➡️ È stata richiesta la dismissione del sottodominio malevolo.
➡️ Gli indicatori di compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
🛡 Si raccomanda di non cliccare su link sospetti e di verificare l'autenticità dei siti visitati. È possibile segnalare le comunicazioni dubbie a malware@cert-agid.gov.it.
ℹ️ Download IoC👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2025/12/phishing_pds_12_12_2025.json
Forwarded from Matteo Cavallaro
Sintesi riepilogativa delle campagne malevole nella settimana del 6 – 12 dicembre 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 62 campagne malevole, di cui 25 con obiettivi italiani e 37 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1293 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di phishing ai danni della Polizia di Stato.
➡️ Rilevato un phishing mirato contro utenti di atenei italiani. La pagina malevola replica il logo del MUR e reindirizza a un finto form di login Microsoft.
➡️ In corso una campagna malevola mirata alle PA: allegati PDF reindirizzano a risorse ospitate su #Figma.
💣 #IoC 1293
🦠 #Malware 14 (famiglie)
🐟 #Phishing 22 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-6-12-dicembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 62 campagne malevole, di cui 25 con obiettivi italiani e 37 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 1293 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Individuata una campagna di phishing ai danni della Polizia di Stato.
➡️ Rilevato un phishing mirato contro utenti di atenei italiani. La pagina malevola replica il logo del MUR e reindirizza a un finto form di login Microsoft.
➡️ In corso una campagna malevola mirata alle PA: allegati PDF reindirizzano a risorse ospitate su #Figma.
💣 #IoC 1293
🦠 #Malware 14 (famiglie)
🐟 #Phishing 22 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-6-12-dicembre/
🇮🇹 #Smishing a tema #INPS finalizzato al furto di identità
⚠️ Il CERT-AGID ha ricevuto segnalazione di una nuova campagna in corso veicolata tramite #SMS e finalizzata al furto di dati personali.
📱 Lo smishing presenta un link, la cui pagina è accessibile solo da dispositivi mobile, che conduce a una pagina malevola simile nell'aspetto a quella del portale ufficiale di INPS.
🔎 Oltre alle generalità e all'IBAN, alle vittime viene richiesto il caricamento di foto scattate ai seguenti documenti:
👨⚕️ carta d’identità (fronte e retro)
🎫 tessera sanitaria (fronte e retro)
🎟 patente di guida (fronte e retro)
📄 ultime buste paga
🤳 selfie con documento d’identità
🚧 Azioni di contrasto
➡️ L'amministrazione interessata è stata informata.
➡️ Richiesta la dismissione del dominio.
➡️ Gli #IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
⚠️ Il CERT-AGID ha ricevuto segnalazione di una nuova campagna in corso veicolata tramite #SMS e finalizzata al furto di dati personali.
📱 Lo smishing presenta un link, la cui pagina è accessibile solo da dispositivi mobile, che conduce a una pagina malevola simile nell'aspetto a quella del portale ufficiale di INPS.
🔎 Oltre alle generalità e all'IBAN, alle vittime viene richiesto il caricamento di foto scattate ai seguenti documenti:
👨⚕️ carta d’identità (fronte e retro)
🎫 tessera sanitaria (fronte e retro)
🎟 patente di guida (fronte e retro)
📄 ultime buste paga
🤳 selfie con documento d’identità
🚧 Azioni di contrasto
➡️ L'amministrazione interessata è stata informata.
➡️ Richiesta la dismissione del dominio.
➡️ Gli #IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
È online il nuovo paper del CERT-AgID sugli LLM e i loro meccanismi di sicurezza
Lo studio guarda dentro i modelli linguistici per capire come nascono rifiuti, bias, allucinazioni e segnali di sicurezza.
La sicurezza è distribuita nei layer del modello. I segnali emergono, si trasformano e si rafforzano lungo l’elaborazione della richiesta. Questo rende possibile intervenire su quei segnali e deviare il comportamento del modello, fino ad aggirare le barriere di sicurezza, usando tecniche come l’activation engineering.
Il paper mostra quindi che la robustezza degli LLM non può essere valutata solo osservando le risposte finali. Serve capire dove e come nasce un comportamento, e in quali punti può essere alterato.
🔗 https://www.agid.gov.it/it/notizie/online-il-nuovo-paper-del-cert-agid-ecco-come-nascono-e-si-aggirano-i-divieti-dei-llm
Lo studio guarda dentro i modelli linguistici per capire come nascono rifiuti, bias, allucinazioni e segnali di sicurezza.
La sicurezza è distribuita nei layer del modello. I segnali emergono, si trasformano e si rafforzano lungo l’elaborazione della richiesta. Questo rende possibile intervenire su quei segnali e deviare il comportamento del modello, fino ad aggirare le barriere di sicurezza, usando tecniche come l’activation engineering.
Il paper mostra quindi che la robustezza degli LLM non può essere valutata solo osservando le risposte finali. Serve capire dove e come nasce un comportamento, e in quali punti può essere alterato.
🔗 https://www.agid.gov.it/it/notizie/online-il-nuovo-paper-del-cert-agid-ecco-come-nascono-e-si-aggirano-i-divieti-dei-llm
Sintesi riepilogativa delle campagne malevole nella settimana del 13 – 19 dicembre 2025
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 82 campagne malevole, di cui 46 con obiettivi italiani e 36 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 966 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Pubblicato un paper del CERT-AgID che analizza i meccanismi interni degli LLM, mostrando come emergono e possano essere manipolati i segnali di rifiuto/sicurezza fino ad aggirare i divieti.
➡️ Osservata una nuova campagna di smishing a tema #INPS finalizzata al furto di documenti di identità e di dati personali delle vittime.
💣 #IoC 966
🦠 #Malware 14 (famiglie)
🐟 #Phishing 30 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-dicembre/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 82 campagne malevole, di cui 46 con obiettivi italiani e 36 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 966 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Pubblicato un paper del CERT-AgID che analizza i meccanismi interni degli LLM, mostrando come emergono e possano essere manipolati i segnali di rifiuto/sicurezza fino ad aggirare i divieti.
➡️ Osservata una nuova campagna di smishing a tema #INPS finalizzata al furto di documenti di identità e di dati personali delle vittime.
💣 #IoC 966
🦠 #Malware 14 (famiglie)
🐟 #Phishing 30 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-13-19-dicembre/
Vulnerabilità critica in n8n. Rischio elevato per istanze esposte in rete
⚠️ Venerdì 19 dicembre è stata resa pubblica, direttamente dal team di n8n, una vulnerabilità critica di esecuzione remota di codice, identificata come CVE-2025-68613, con punteggio CVSS 9.9/10.
▪️La vulnerabilità
▪️L’attacco
▪️L’impatto
▪️Superficie di esposizione in Italia
▪️Mitigazioni e raccomandazioni
ℹ️ Approfondimenti 👇
🔗 https://cert-agid.gov.it/news/vulnerabilita-critica-in-n8n-rischio-elevato-per-istanze-esposte-in-rete/
⚠️ Venerdì 19 dicembre è stata resa pubblica, direttamente dal team di n8n, una vulnerabilità critica di esecuzione remota di codice, identificata come CVE-2025-68613, con punteggio CVSS 9.9/10.
▪️La vulnerabilità
▪️L’attacco
▪️L’impatto
▪️Superficie di esposizione in Italia
▪️Mitigazioni e raccomandazioni
ℹ️ Approfondimenti 👇
🔗 https://cert-agid.gov.it/news/vulnerabilita-critica-in-n8n-rischio-elevato-per-istanze-esposte-in-rete/
🇮🇹 Campagna di phishing ai danni di #AdE: finta notifica di rimborso fiscale
⚠️ Sono state individuate diverse nuove campagne di phishing mirate a utenti dell'Agenzia delle Entrate, progettate per sottrarre dati di carte di pagamento.
🔎 I messaggi fraudolenti rimandano a una pagina malevola che informa la vittima della possibilità di ricevere un presunto rimborso. Procedendo con la navigazione, nelle pagine seguenti viene richiesto di inserire i propri dati personali e le informazioni della carta di pagamento.
🚧 Azioni di contrasto intraprese dal CERT-AGID:
➡️ Il MEF è stato informato della problematica.
➡️ È stata richiesta la dismissione dei domini malevoli.
➡️ Gli Indicatori di Compromissione (IoC) sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_AdE_02_01_2025.json
⚠️ Sono state individuate diverse nuove campagne di phishing mirate a utenti dell'Agenzia delle Entrate, progettate per sottrarre dati di carte di pagamento.
🔎 I messaggi fraudolenti rimandano a una pagina malevola che informa la vittima della possibilità di ricevere un presunto rimborso. Procedendo con la navigazione, nelle pagine seguenti viene richiesto di inserire i propri dati personali e le informazioni della carta di pagamento.
🚧 Azioni di contrasto intraprese dal CERT-AGID:
➡️ Il MEF è stato informato della problematica.
➡️ È stata richiesta la dismissione dei domini malevoli.
➡️ Gli Indicatori di Compromissione (IoC) sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_AdE_02_01_2025.json
🇮🇹 #Smishing a tema #INPS finalizzato al furto di documenti
⚠️ Il CERT-AGID ha avuto evidenza di una nuova campagna, veicolata tramite #SMS e finalizzata al furto di dati personali.
📱 Il messaggio malevolo, che informa la vittima della necessità di aggiornare i propri dati per non perdere l'accesso ai "benefici", presenta un link che rimanda a un sito accessibile solo da dispositivi mobile.
🔎 Oltre alle generalità e all'IBAN, alle vittime viene richiesto il caricamento di foto scattate ai seguenti documenti:
👨⚕️ carta d’identità (fronte e retro)
🎫 tessera sanitaria (fronte e retro)
🎟 patente di guida (fronte e retro)
📄 ultime buste paga
🤳 selfie con documento d’identità
🚧 Azioni di contrasto
➡️ L'amministrazione interessata è stata informata.
➡️ Richiesta la dismissione del dominio.
➡️ Gli #IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/smishing_INPS_05-01-2026.json
⚠️ Il CERT-AGID ha avuto evidenza di una nuova campagna, veicolata tramite #SMS e finalizzata al furto di dati personali.
📱 Il messaggio malevolo, che informa la vittima della necessità di aggiornare i propri dati per non perdere l'accesso ai "benefici", presenta un link che rimanda a un sito accessibile solo da dispositivi mobile.
🔎 Oltre alle generalità e all'IBAN, alle vittime viene richiesto il caricamento di foto scattate ai seguenti documenti:
👨⚕️ carta d’identità (fronte e retro)
🎫 tessera sanitaria (fronte e retro)
🎟 patente di guida (fronte e retro)
📄 ultime buste paga
🤳 selfie con documento d’identità
🚧 Azioni di contrasto
➡️ L'amministrazione interessata è stata informata.
➡️ Richiesta la dismissione del dominio.
➡️ Gli #IoC sono stati diramati alle organizzazioni accreditate al Flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/smishing_INPS_05-01-2026.json
🇮🇹 Torna il phishing a tema "cryptovalute" ai danni di #AdE
⚠️ Il CERT-AGID ha individuato una nuova campagna di #phishing che abusa del nome e del logo dell’Agenzia delle Entrate, presentandosi come servizio di “Dichiarazione Fiscale Criptovalute”.
🎯 Oltre a raccogliere diversi dati personali come nome, cognome, codice fiscale, email e numero di telefono, il vero obbiettivo dei criminali è impossessarsi dei wallet crypto delle vittime.
🚧 Azioni di contrasto
➡️ L'ente interessato è stato informato della problematica.
➡️ È stata richiesta la dismissione del dominio malevolo al Registrar.
➡️ Gli Indicatori di Compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_AdE_05-01-2026.json
⚠️ Il CERT-AGID ha individuato una nuova campagna di #phishing che abusa del nome e del logo dell’Agenzia delle Entrate, presentandosi come servizio di “Dichiarazione Fiscale Criptovalute”.
🎯 Oltre a raccogliere diversi dati personali come nome, cognome, codice fiscale, email e numero di telefono, il vero obbiettivo dei criminali è impossessarsi dei wallet crypto delle vittime.
🚧 Azioni di contrasto
➡️ L'ente interessato è stato informato della problematica.
➡️ È stata richiesta la dismissione del dominio malevolo al Registrar.
➡️ Gli Indicatori di Compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_AdE_05-01-2026.json
🇮🇹 Scoperto falso portale del Ministero dell’Interno: phishing su permesso di soggiorno
⚠️ Il CERT-AGID ha individuato un falso portale che sfrutta i loghi del Viminale. Il sito, che si presenta come un servizio ufficiale, è finalizzato a rubare dati della vittima utili per furti d’identità o frodi mirate a stranieri.
ℹ️ La pagina fraudolenta, dietro il pretesto di verificare lo stato del permesso di soggiorno, richiede di inserire dati identificativi e dettagli della pratica. La pagina fa inoltre riferimento a procedure realmente esistenti per aumentare la propria credibilità.
🚧 Azioni di contrasto
➤ Il Ministero dell'Interno è stato informato della problematica.
➤ È stata richiesta la dismissione del dominio malevolo al Registrar.
➤ Gli Indicatori di Compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
💣 Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/scoperto-falso-portale-del-ministero-dellinterno/
⚠️ Il CERT-AGID ha individuato un falso portale che sfrutta i loghi del Viminale. Il sito, che si presenta come un servizio ufficiale, è finalizzato a rubare dati della vittima utili per furti d’identità o frodi mirate a stranieri.
ℹ️ La pagina fraudolenta, dietro il pretesto di verificare lo stato del permesso di soggiorno, richiede di inserire dati identificativi e dettagli della pratica. La pagina fa inoltre riferimento a procedure realmente esistenti per aumentare la propria credibilità.
🚧 Azioni di contrasto
➤ Il Ministero dell'Interno è stato informato della problematica.
➤ È stata richiesta la dismissione del dominio malevolo al Registrar.
➤ Gli Indicatori di Compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
💣 Ulteriori dettagli e #IoC 👇
🔗 https://cert-agid.gov.it/news/scoperto-falso-portale-del-ministero-dellinterno/
🇮🇹 Campagna di phishing #TesseraSanitaria in corso
⚠️ Il CERT-AGID ha avuto evidenza di una campagna di #phishing che sfrutta loghi e nomi del Sistema Tessera Sanitaria e del Ministero della Salute.
🔎 Le email ingannevoli fanno riferimento alla "scadenza imminente" della tessera e rimandano a una finta pagina di rinnovo che richiede diverse informazioni, tra cui generalità, data di nascita, indirizzo di residenza, numero di telefono e indirizzo email.
🚧 Azioni di contrasto
➤ Ministero della Salute e MEF sono stati informati della problematica.
➤ È stata richiesta la dismissione del dominio malevolo al Registrar.
➤ Gli Indicatori di Compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
ℹ️ Ulteriori dettagli e download #IoC 👇
🔗 https://cert-agid.gov.it/news/nuova-campagna-di-phishing-su-scadenza-tessera-sanitaria-in-corso/
⚠️ Il CERT-AGID ha avuto evidenza di una campagna di #phishing che sfrutta loghi e nomi del Sistema Tessera Sanitaria e del Ministero della Salute.
🔎 Le email ingannevoli fanno riferimento alla "scadenza imminente" della tessera e rimandano a una finta pagina di rinnovo che richiede diverse informazioni, tra cui generalità, data di nascita, indirizzo di residenza, numero di telefono e indirizzo email.
🚧 Azioni di contrasto
➤ Ministero della Salute e MEF sono stati informati della problematica.
➤ È stata richiesta la dismissione del dominio malevolo al Registrar.
➤ Gli Indicatori di Compromissione sono stati diramati agli enti accreditati al flusso IoC del CERT-AGID.
ℹ️ Ulteriori dettagli e download #IoC 👇
🔗 https://cert-agid.gov.it/news/nuova-campagna-di-phishing-su-scadenza-tessera-sanitaria-in-corso/
🇮🇹 Phishing mirato ai danni di #UniBs in corso
⚠️ Dettagli della campagna
Il CERT-AGID ha avuto oggi evidenza di una campagna di #phishing mirato diretta a studenti e personale dell’Università di Brescia.
🎯 Obiettivo
Le comunicazioni fraudolente indirizzano le vittime a una pagina che replica il Single sign-on (SSO) dell'Ateneo con l'obiettivo di impossessarsi delle credenziali istituzionali di studenti e dipendenti.
🚧 Azioni di contrasto
L’#Università di #Brescia è stata prontamente informata della minaccia in corso e gli Indicatori di Compromissione (#IoC) sono stati diramati a tutti gli enti accreditati al nostro feed.
È stata inoltre richiesta la dismissione del sottodominio malevolo.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_UniBs_08_01_26.json
⚠️ Dettagli della campagna
Il CERT-AGID ha avuto oggi evidenza di una campagna di #phishing mirato diretta a studenti e personale dell’Università di Brescia.
🎯 Obiettivo
Le comunicazioni fraudolente indirizzano le vittime a una pagina che replica il Single sign-on (SSO) dell'Ateneo con l'obiettivo di impossessarsi delle credenziali istituzionali di studenti e dipendenti.
🚧 Azioni di contrasto
L’#Università di #Brescia è stata prontamente informata della minaccia in corso e gli Indicatori di Compromissione (#IoC) sono stati diramati a tutti gli enti accreditati al nostro feed.
È stata inoltre richiesta la dismissione del sottodominio malevolo.
ℹ️ Download #IoC 👇
🔗 https://cert-agid.gov.it/wp-content/uploads/2026/01/phishing_UniBs_08_01_26.json
Nuova vulnerabilità critica Ni8mare in #n8n: Attacco senza autenticazione
⚠️ A differenza di bug passati, #Ni8mare non richiede credenziali.
Questa nuova debolezza è tracciata come CVE-2026-21858, soprannominata #Ni8mare, con punteggio CVSS 10.0/10.0.
🎯 Molte installazioni girano con permessi elevati, un attaccante, una volta dentro, può accedere a tutta l’infrastruttura collegata a #n8n.
➤ Come funziona l’attacco
➤ Esposizione e impatto nel contesto italiano
➤ Raccomandazioni operative
ℹ️ Approfondimenti 👇
🔗 https://cert-agid.gov.it/news/nuova-vulnerabilita-critica-ni8mare-in-n8n-attacco-senza-autenticazione/
⚠️ A differenza di bug passati, #Ni8mare non richiede credenziali.
Questa nuova debolezza è tracciata come CVE-2026-21858, soprannominata #Ni8mare, con punteggio CVSS 10.0/10.0.
🎯 Molte installazioni girano con permessi elevati, un attaccante, una volta dentro, può accedere a tutta l’infrastruttura collegata a #n8n.
➤ Come funziona l’attacco
➤ Esposizione e impatto nel contesto italiano
➤ Raccomandazioni operative
ℹ️ Approfondimenti 👇
🔗 https://cert-agid.gov.it/news/nuova-vulnerabilita-critica-ni8mare-in-n8n-attacco-senza-autenticazione/
Sintesi riepilogativa delle campagne malevole nella settimana del 3 – 9 gennaio 2026
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 73 campagne malevole, di cui 55 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 634 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova vulnerabilità critica in n8n.
➡️ Rilevato phishing mirato ai danni di UniBs.
➡️ Individuato phishing a tema scadenza Tessera Sanitaria.
➡️ Scoperto un finto portale del Ministero dell’Interno per la verifica di permessi di soggiorno.
➡️ Torna il phishing a tema dichiarazione fiscale criptovalute.
➡️ Rilevata una nuova campagna di smishing #INPS.
💣 #IoC 634
🦠 #Malware 16 (famiglie)
🐟 #Phishing 25 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-3-9-gennaio
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 73 campagne malevole, di cui 55 con obiettivi italiani e 18 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 634 indicatori di compromissione (IoC) individuati.
Eventi di particolare interesse:
➡️ Nuova vulnerabilità critica in n8n.
➡️ Rilevato phishing mirato ai danni di UniBs.
➡️ Individuato phishing a tema scadenza Tessera Sanitaria.
➡️ Scoperto un finto portale del Ministero dell’Interno per la verifica di permessi di soggiorno.
➡️ Torna il phishing a tema dichiarazione fiscale criptovalute.
➡️ Rilevata una nuova campagna di smishing #INPS.
💣 #IoC 634
🦠 #Malware 16 (famiglie)
🐟 #Phishing 25 (brand)
ℹ️ Ulteriori approfondimenti 👇
🔗 https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-3-9-gennaio
CERT-AgID
🇮🇹 Campagna di phishing #TesseraSanitaria in corso ⚠️ Il CERT-AGID ha avuto evidenza di una campagna di #phishing che sfrutta loghi e nomi del Sistema Tessera Sanitaria e del Ministero della Salute. 🔎 Le email ingannevoli fanno riferimento alla "scadenza…
🔄 Aggiornamento 13/01/2026
⚠️ In data odierna il CERT-AGID ha individuato un ulteriore dominio malevolo riconducibile alla medesima campagna a tema Tessera Sanitaria e quindi allo stesso attore criminale.
🔬In questa nuova campagna è stata riscontrata una seconda fase della truffa, legata alla falsa spedizione della nuova tessera. Un form simula la scelta del corriere per la consegna e richiede l’inserimento dei dati della carta di credito, con la finalità di impossessarsi delle informazioni finanziarie delle vittime.
💣 Gli Indicatori di Compromissione (#IoC) sono stati aggiornati
⚠️ In data odierna il CERT-AGID ha individuato un ulteriore dominio malevolo riconducibile alla medesima campagna a tema Tessera Sanitaria e quindi allo stesso attore criminale.
🔬In questa nuova campagna è stata riscontrata una seconda fase della truffa, legata alla falsa spedizione della nuova tessera. Un form simula la scelta del corriere per la consegna e richiede l’inserimento dei dati della carta di credito, con la finalità di impossessarsi delle informazioni finanziarie delle vittime.
💣 Gli Indicatori di Compromissione (#IoC) sono stati aggiornati
CERT-AgID
🇮🇹 Campagna di phishing #TesseraSanitaria in corso ⚠️ Il CERT-AGID ha avuto evidenza di una campagna di #phishing che sfrutta loghi e nomi del Sistema Tessera Sanitaria e del Ministero della Salute. 🔎 Le email ingannevoli fanno riferimento alla "scadenza…
🔄 Aggiornamento 16/01/2026
⚠️ Il CERT-AGID ha rilevato, nella giornata odierna, un nuovo dominio malevolo, sfruttato per la stessa campagna. La modalità operativa risulta analoga a quella già descritta: pagine che presentano riferimenti al Sistema Tessera Sanitaria e che mirano alla raccolta illecita di dati delle vittime. Sono state quindi adottate le stesse azioni di contrasto già applicate in precedenza.
💣 Gli Indicatori di Compromissione (#IoC) sono stati aggiornati
⚠️ Il CERT-AGID ha rilevato, nella giornata odierna, un nuovo dominio malevolo, sfruttato per la stessa campagna. La modalità operativa risulta analoga a quella già descritta: pagine che presentano riferimenti al Sistema Tessera Sanitaria e che mirano alla raccolta illecita di dati delle vittime. Sono state quindi adottate le stesse azioni di contrasto già applicate in precedenza.
💣 Gli Indicatori di Compromissione (#IoC) sono stati aggiornati