Il CERT-AGID ha emesso un avviso relativo al sito, raggiungibile all’indirizzo ilportaledellautomobilista.net, che si presenta come copia identica del sito lecito.
Una volta che la vittima clicca sul pulsante ACCEDI AL PORTALE ed inserisce nome utente e password, queste vengono rubate dai criminali.
Il dominio ilportaledellautomobilista.net era già noto al CERT-AGID tramite una segnalazione ricevuta da D3Lab, ed era già stato segnalato alle autorità competenti e sottoposto al monitoraggio degli esperti del CERT-AGID.
Il finto sito dispone anche di un certificato HTTPS valido (firmato da Sectigo).
Alcuni dettagli tecnici presenti nel sito consentono tuttavia di identificare la natura malevola del sito:
- Presenza di link non funzionanti. Quasi tutti i link del sito contengono un cancelletto davanti (Una nota tecnica per disattivare un link ma renderlo simile ad uno vero).
- I sorgenti della pagina contengono artefatti Liferay, i quali indicano una tecnologia Java. Tuttavia, la pagina di accesso al portale è scritta con una tecnologia diversa (PHP). Questo è tipico di quando i siti sono clonati.
Gli esperti fanno notare la presenza di soluzioni di protezione contro attacchi DoS probabilmente offerto dall’hosting su cui è ospitato il sito.
Il CERT-AGID consiglia pertanto di prestare attenzione a questa tipologia di truffa e di far riferimento al reale portale dell’automobilista raggiungibile solo sul dominio .it: https://www.ilportaledellautomobilista.it/.