Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing a tema iCloud volta a carpire le informazioni personali delle potenziali vittime, compresi gli estremi delle carte di credito.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: Basso (20.0)

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing a tema iCloud volta a carpire le informazioni personali delle potenziali vittime, compresi gli estremi delle carte di credito.

La campagna, veicolata tramite mail, invoglia le potenziali vittime a riscuotere un presunto premio che consiste nella possibilità di ottenere gratuitamente dello spazio di archiviazione aggiuntivo relativo al servizio Apple iCloud (Figura 1).

Figura 1 – Mail di phishing

Il link presente nella mail reindirizza l’utente verso un portale opportunamente predisposto dove si evidenzia la possibilità di ottenere 50 GB di spazio di archiviazione aggiuntivo a soli 2€ l’anno – in contraddizione a quanto riportato nel corpo del testo della email. (Figura 2)

Figura 2 – Landing page di phishing

Qualora dato seguito al link “Ricevi 50 GB”, alla vittima verranno richieste informazioni sensibili, quali dati personali ed estremi della carta di credito, con le medesime modalità trattate nell’ambito dell’AL01/250103/CSIRT-ITA (Figure 3 e 4).

Figura 3 – Richiesta informazioni

Figura 4 – Richiesta di inserimento dati carta di credito

Inoltre, qualora inseriti i dati richiesti, una pagina di caricamento simulerà il tentativo di pagamento non andato a buon fine tramite un messaggio che indica le possibili motivazioni che hanno portato ad una non corretta transazione (Figura 5). In tale pagina risulta presente anche una chat di supporto gestita tramite bot: interagendo con esso, l’automatismo chiederà di descrivere il problema e esorterà l’utilizzo di ulteriori carte di pagamento reindirizzando la vittima verso portali di pagamento alternativi.

Figura 5- Pagamento non riuscito e chat bot

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

·      fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;

·      verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali;

·      non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;

·      accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)[1] forniti in allegato.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.