Il team di Cyber Threat Intelligence di D3Lab ha rilevato una nuova e insidiosa campagna di phishing via SMS (smishing) che sfrutta il nome dell’Agenzia delle Entrate per indurre gli utenti a fornire dati personali e, soprattutto, le credenziali di accesso ai propri wallet di criptovalute.

Il messaggio SMS fraudolento

Gli utenti ricevono un SMS con il seguente testo:

“Abbiamo rilevato valute virtuali a Lei riconducibili. La normativa vigente ne impone la dichiarazione entro il 30/09/2025 agenziaentrate-dichiarazione[.]com”

Il link contenuto nel messaggio rimanda a un dominio recentemente registrato (agenziaentrate-dichiarazione[.]com), non riconducibile all’Agenzia delle Entrate, ma gestito da attori criminali.

Mittente anomalo

In diversi casi il mittente non compare come “Agenzia Entrate”, bensì come:

• ICCS (Istituto Clinico Città Studi di Milano)
• CONFAGRIFE (Confagricoltura Ferrara)
• Solo in un caso è stato osservato l’uso di “Ag. Entrate”.

Questo comportamento evidenzia tecniche di spoofing del mittente per aumentare la credibilità del messaggio.

La landing page di phishing

Seguendo il link, l’utente accede a un portale che replica graficamente il sito dell’Agenzia delle Entrate. La pagina è strutturata in sei step, simulando una procedura ufficiale di dichiarazione telematica.

Il sito richiede progressivamente:

• Nome e Cognome
• Numero di telefono
• Codice fiscale
• Indirizzo email
• Tipologia di contribuente (privato, professionista, società, ecc.)
• Giacenza media annua di criptovalute

Nell’ultima fase viene richiesto di collegare il proprio wallet o, peggio ancora, inserire la seed phrase di recupero. In questo modo i criminali ottengono accesso diretto ai fondi dell’utente.

Perché questa campagna è particolarmente pericolosa

• Template inedito: è la prima volta che D3Lab rileva questo specifico layout, segno di un’evoluzione nelle tecniche di phishing.
• Target mirato: il tema delle criptovalute intercetta un numero crescente di utenti italiani che devono confrontarsi con nuove normative fiscali.
• Doppio furto: i criminali raccolgono sia dati anagrafici e fiscali sia credenziali per accedere ai wallet crypto.

Consigli di prevenzione

• Non cliccare mai su link ricevuti via SMS da presunti enti pubblici o istituzioni finanziarie.
• Verificare sempre il dominio: i siti ufficiali dell’Agenzia delle Entrate terminano in .gov.it e non utilizzano domini generici come .com.
• Diffidare da urgenze e scadenze: i criminali fanno leva sul senso di obbligo normativo e sul timore di sanzioni per indurre all’errore.
• Non condividere mai la seed phrase o le credenziali del proprio wallet: nessun ente pubblico o servizio legittimo la richiederà.

Conclusioni

Questa campagna dimostra come il phishing si stia adattando alle nuove realtà finanziarie e fiscali, sfruttando il tema delle criptovalute per colpire gli utenti. D3Lab continuerà a monitorare e segnalare simili minacce per aiutare cittadini e aziende a difendersi.