Gelombang penipuan digital di Italia pada 2025 kian canggih karena pelaku tak lagi sekadar “menebar umpan” acak. Mereka meniru layanan yang terasa resmi dan dekat dengan rutinitas warga, dari pembayaran publik sampai komunikasi berkategori “terverifikasi”. Gambaran ini muncul dalam laporan tahunan CERT-AGID, unit keamanan siber yang mendukung Administrasi Publik Italia.
Sepanjang 2025, CERT-AGID mencatat 3.620 kampanye jahat aktif. Pada periode yang sama, sebanyak 51.530 indikator kompromi (indikator penurunan nilai/IOC) disebarkan ke administrasi dan entitas dalam perimeter AgID agar dapat mempercepat mitigasi dan deteksi.
Polanya jelas: penjahat siber mengeksploitasi kepercayaan pengguna pada kanal kelembagaan. Tema yang paling sering dipakai berulang kali adalah pesanan dan pengiriman, perbankan digital, pembayaran, serta ancaman “hukuman” atau denda yang mendorong korban panik dan tergesa-gesa.
Kebaruan paling mencolok pada 2025 adalah lonjakan phishing bertema PagoPA. CERT-AGID memantau 328 kampanye yang mengaku sebagai pengingat pembayaran untuk denda lalu lintas. Tautannya mengarah ke situs palsu yang dirancang untuk mencuri data pribadi dan informasi kartu. Fenomena ini mulai muncul di akhir Maret dan meningkat tajam sejak Mei, sampai menyumbang sekitar 9% dari seluruh kampanye yang terdeteksi.
Vektor serangan lain yang ikut naik adalah PEC (Certified E-Mail), layanan surel bersertifikat yang selama ini diasosiasikan dengan keamanan. Kampanye lewat PEC hampir dua kali lipat dibanding 2024: meningkat sekitar 80% dengan 103 peristiwa tercatat. Pelaku memanfaatkan persepsi “pesan bersertifikat = aman” untuk menyelipkan phishing dan malware perbankan, termasuk loader seperti MintsLoader.
Smishing atau penipuan via SMS memang turun sekitar 23% secara total, tetapi karakternya berubah ke arah yang lebih berbahaya. Proporsi pesan SMS yang dipakai untuk menyebarkan malware justru naik dari 28% menjadi 45% dalam setahun. Nama lembaga publik dan layanan populer tetap sering dipakai untuk membuat pesan terlihat meyakinkan.
Laporan itu juga menyorot teknik rekayasa sosial yang sedang naik daun, yakni ClickFix. Korban “dipandu” menjalankan perintah manual di komputernya, sering melalui CAPTCHA palsu atau instruksi yang tampak sah. Teknik ini terpantau di sekitar 70 kampanye, dan dipakai untuk menyebarkan malware seperti AsyCrat, Lumma Stealer, serta XWorm.
Dari sisi lanskap malware, kategori infostealer masih dominan. Sekitar 60% dari 90 keluarga malware yang diidentifikasi termasuk infostealer, diikuti RAT sekitar 30%. FormBook disebut sebagai malware yang paling sering terdeteksi, lalu Remcos dan AgentTesla. Rantai infeksi multi-tahap semakin umum, menggabungkan social engineering, loader, hingga dropper untuk melewati kontrol otomatis.
Soal jalur distribusi, e-mail biasa tetap nomor satu: dipakai pada 91,7% kasus. SMS berada di 5,2% dan PEC 2,8%, namun PEC menunjukkan pertumbuhan yang kuat. Pelaku memanfaatkan beragam format file untuk “mengangkut” muatan berbahaya: arsip terkompresi menyumbang hampir separuh file berbahaya yang terdeteksi, dengan ZIP dan RAR mendekati 30% total. Di urutan berikutnya ada file skrip (JS, VBS, BAT, PS1) sekitar 20%, lalu dokumen PDF/teks/spreadsheet/presentasi sekitar 10% yang kerap berisi tautan atau makro. File APK juga konsisten dipakai untuk Android, sekitar 4,4% dari file yang dianalisis.
Di ranah Android, kampanye malware meningkat sekitar 55% pada 2025. Keluarga yang paling banyak muncul disebut Copybara, disusul Irata dan SpyNote. Skenario infeksinya sering dimulai dari SMS yang mengajak memasang “pembaruan” palsu atau aplikasi perbankan tiruan melalui APK berbahaya.
Risiko tak berhenti pada infeksi perangkat. CERT-AGID juga mencatat 89 kasus kompromi data, banyak terkait penyebaran ilegal basis data layanan komersial. File yang bocor memuat lebih dari 500.000 alamat e-mail yang dapat ditautkan ke badan publik, dan dalam sejumlah kasus juga kata sandi. Ada pula temuan penjualan online dokumen identitas yang dicuri dari fasilitas hotel Italia: ratusan ribu pemindaian diambil antara Juni dan Juli 2025, dengan dampak yang meluas hingga melibatkan dua belas hotel selama musim panas.
Rangkaian angka ini memberi pelajaran sederhana: semakin “resmi” tampilan dan nama layanan yang dipalsukan, semakin besar peluang korban lengah. Karena itu, kebiasaan memeriksa domain, menolak instruksi menjalankan perintah manual, serta memverifikasi pesan denda/pembayaran lewat kanal resmi menjadi kunci untuk menutup celah yang kini paling sering dieksploitasi.
