Dentro la truffa: la falsa campagna a tema Polizia Postale che esfiltra dati in tempo reale

Nella giornata odierna, durante le consuete attività di monitoraggio e contrasto alle frodi online, il Threat Intelligence Team di D3Lab ha rilevato la prima campagna di phishing dell’anno a tema Commissariato di P.S. Online della Polizia Postale, strumentalizzato per orchestrare attacchi di SIM Swapping.

Il Commissariato di P.S. Online è lo sportello virtuale della Polizia Postale e delle Comunicazioni, l’articolazione specializzata della Polizia di Stato deputata alla prevenzione e al contrasto della criminalità informatica dedicato alla comunicazione da e verso il cittadino.

Proprio a causa del suo ruolo centrale come punto di riferimento istituzionale per la sicurezza in rete, gli aggressori hanno deciso di clonarne l’identità: sfruttare il nome di un ente preposto a combattere le truffe rappresenta per i criminali il modo più efficace per abbassare le difese psicologiche delle vittime.

L’Anatomia della Truffa: Come Funziona l’Attacco

Mentre nei tradizionali attacchi di SIM Swapping, in cui il criminale si reca in un negozio o contatta il customer care del provider spacciandosi per la vittima tramite documenti contraffatti, questa campagna utilizza un approccio di Ingegneria Sociale Inversa, creando  una trappola in cui è la vittima stessa, terrorizzata dall’idea di subire un furto sul proprio conto corrente, a compiere l’azione fatale inserendo i propri dati.

Fase 1: Il Falso Filtro Anti-Bot

Come evidenziato nell’immagine, l’utente che atterra sul dominio malevolo commissps[.]help non accede direttamente alla notizia, ma si scontra con una schermata denominata “Verifica Interattiva – Controllo Rapido”.

La pagina imita i moderni sistemi di protezione della navigazione (come Cloudflare o i CAPTCHA) e richiede di cliccare sul pulsante “Tocca per continuare” per “confermare di essere un utente reale” al fine di ingannare l’utente e far credere si trovi su un sito legittimo.

Fase 2: Il Clone della Polizia Postale e il Paradosso dell’Allarme

Una volta superata la finta verifica, l’utente approda su una pagina che riproduce fedelmente la grafica del portale ufficilale del Commissariato di P.S. Online, completa di loghi istituzionali.

Focus centrale della pagina è rappresentato da un falso articolo dal titolo “Allarme SIM Swapping: oltre 12.000 casi nel 2026”

Questo il testo dell’articolo: 

Roma, 9 giugno 2026 – La Polizia Postale e delle Comunicazioni lancia un allarme grave sull'esplosione delle frodi di SIM Swapping.
Nei primi cinque mesi del 2026 sono già stati segnalati oltre 12.000 casi, con un incremento del 47% rispetto allo stesso periodo dell'anno scorso. I criminali, attraverso tecniche sempre più sofisticate, riescono a farsi sostituire la SIM della vittima e, in pochi minuti, ad accedere ai conti correnti, autorizzare bonifici e svuotare i risparmi.
«Si tratta di una minaccia concreta e in rapida crescita», ha dichiarato il dirigente della Polizia Postale durante la conferenza stampa al Viminale. «Una volta che il truffatore ha il controllo del numero di telefono, può operare indisturbato sul conto bancario della vittima. Il tempo è un fattore decisivo: più si tarda a sostituire la SIM, maggiore è il rischio di subire danni irreversibili.»

La Polizia Postale invita con urgenza tutti i cittadini a procedere immediatamente con la sostituzione della propria SIM card presso il proprio operatore telefonico e a verificare senza indugio la situazione del proprio conto bancario.

Fase 3: La “Call to Action” Fraudolenta

Il testo, come si evince dalla fase finale dell’articolo, spinge gli utenti a quello che è il vero obiettivo dei truffatori, ovvero portare le vittime a cliccare sul vistoso blue button “Richiedi la sostituzione” per proseguire la frode.

A questo punto la truffa si sviluppa chiedendo alla vittima la “Conferma dei dati personali” per procedere alla spedizione di una fantomatica “SIM di sicurezza antifrode”.

Il portale richiede:

  • Nome e Cognome
  • Codice Fiscale
  • Numero Attuale associato al servizio
  • Indirizzo di spedizione completo ( Provincia, Città , CAP )

Questi ovviamente sono tutti i dati necessari ai criminali per entrare in possesso del numero di telefono delle vittime.

Fase 4: La Scelta Obbligata e il Falso Costo di Portabilità

Una volta cliccato su “Verifica e Invia”, l’utente visualizza una pagina di esito della richiesta.

Selezionando il pulsante “Richiedi il mantenimento del numero (€2.00) , l’utente passa alla selezione del metodo, se via Carta di credito, o via Paypal.

Nel primo caso verrano richiesti

  • Nome e Cognome del Titolare
  • Numero della Carta
  • Scadenza e codice CVV

Nel caso invece la vittima scegliesse di pagare tramite Paypal

  • Email o numero di Telefono
  • Password

Esfiltrazione via WebSocket (WS)

Il dettaglio tecnico più rilevante riscontrato risiede nella modalità di trasmissione delle informazioni carpite.

I dati digitati all’interno dei moduli non vengono inviati tramite una normale richiesta HTTP POST, bensì vengono veicolati in tempo reale attraverso WebSocket (WSS) verso il server dei criminali.

L’utlilizzo del protocollo wss:// (WebSocket Secure ) permette ai criminali di esfiltare i dati in tempo reale, infatti ogni carattere digitato nei campi della carta di credito o del numero di telefono – indirizzo mail può essere trasmesso istantaneamente.

Inoltre non essendoci una classica chiamata POST per l’invio del modulo, questa aiuta i truffatori a bypassare eventuali “ripensamenti” da parte delle vittime.

IoC

  • hxxps://commissps[.]help/it

In D3Lab crediamo che fare sicurezza significhi soprattutto fare informazione. Documentare e denunciare pubblicamente questi casi è il nostro modo di fornire agli utenti gli strumenti necessari per riconoscere le frodi online.

Come di consueto, invitiamo tutti gli utenti a prestare la massima attenzione. È fondamentale non cliccare su link sospetti ricevuti via SMS o e-mail e non divulgare mai le proprie informazioni sensibili (come username, password, indirizzo e-mail, telefono, etc.)

Questo articolo è redatto a scopo divulgativo e a tutela dei consumatori dal Cyber Threat Intelligence Team di D3Lab

/da
Potrebbero interessarti
Phishing ai danni della Banca Cambiano
Campagna di Phishing ai danni di Deliveroo
Telegram: Server eMail autentico sfruttato per inviare Phishing
Phishing Intesa San Paolo CoronaVirusCoronaVirus: Campagna di Phishing per la tutela dei clienti della banca con WebChat interattiva
Phishing ai danni di Virgilio eMail con dominio Ad-hoc
Phishing ai danni della direzione generale delle dogane
Campagna di smishing ai danni dell’Agenzia delle Entrate: finta dichiarazione fiscale sulle criptovalute
pagina fraudolenta Crédit MutuelPhishing aux dépens du Groupe Crédit Mutuel
D3Lab Srl unipersonale – P.IVA IT01865450496 – Italy – Phone: +3905861946434
NFCShare evolves: from a banking phishing APK to a GitHub-hosted Android NFC...