Sintesi
Questo CSIRT ha recentemente rilevato una campagna di phishing a tema Poste Italiane, perpetrata via SMS, volta a carpire credenziali d’accesso ai servizi bancari e dati relativi alle carte di pagamento.
Descrizione e potenziali impatti
Questo CSIRT ha recentemente rilevato una campagna di phishing a tema Poste Italiane, perpetrata via SMS, volta a carpire credenziali d’accesso ai servizi bancari e dati relativi alle carte di pagamento.
L’SMS (Figura 1) informa la potenziale vittima della necessità di effettuare delle operazioni al fine di evitare il blocco della carta, inducendo l’utente a cliccare sull’URL hxxps[://]25-logdecret[.]es/on/25
L’URL sopracitata si riferisce a una finta pagina di inserimento dati (Figura 2), riportante i loghi di Poste Italiane, predisposta per raccogliere dati personali dell’utente (nome, cognome e numero di telefono).
Dopo aver immesso i dati richiesti, all’utente viene presentata una nuova pagina (Figura 3) nella quale viene richiesto di inserire le proprie credenziali di accesso.
Successivamente all’utente viene presentata una nuova pagina (Figura 4) nella quale viene richiesto di inserire dati relativi alla carta di pagamento.
Cliccando sul pulsante “CONFERMA” si viene reindirizzati a un’ulteriore pagina (Figura 5) nella quale l’utente viene esortato a inserire un “Codice Autorizzazione” che sarà ricevuto sulla propria utenza telefonica. Gli utenti BancoPosta vengono invece invitati a fornire il “CODICE DISPOSITIVO CONTO” ricevuto durante la “registrazione al sito”.
Inserendo il codice richiesto viene infine mostrato un messaggio (Figura 6) nel quale si comunica che verrà effettuata una verifica sui dati e che l’utente verrà contattato da un operatore entro i prossimi 30 minuti. Tale passaggio è verosimilmente finalizzato ad avviare una conversazione diretta con la vittima per ricevere ulteriori informazioni necessarie per portare a compimento la truffa e garantire all’attaccante l’operatività sul conto e sulle carte di pagamento.
Azioni di mitigazione
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
- evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
- evitare di dar seguito a comunicazioni di questo tipo;
- segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.
Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)1 forniti in allegato.
1Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.
