Descrizione e potenziali impatti
Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna malevola, veicolata tramite SMS (smishing) e indirizzata agli utenti dell’operatore TIM, volta a carpire informazioni sensibili ed estremi bancari
L’SMS (Figura 1) esorta la potenziale vittima a visitare il link presente nel corpo del testo, facendo leva sulla presunta scadenza di punti Point Service utili per riscattare eventuali premi.
Qualora dato seguito al link, un’apposita pagina di benvenuto richiede l’inserimento del numero di telefono o della e-mail per poter verificare i punti eventualmente in scadenza (Figura 2).
Inserito il numero di cellulare o l’indirizzo e-mail, un’apposita pagina informa che i presunti punti accumulati sono in scadenza, esortando l’utente ad utilizzarli prima del termine del periodo di validità (Figura 3).
Successivamente, viene pubblicizzata la possibilità di ottenere un buono sconto o una carta regalo dal valore di 50€, previa la decurtazione dei punti dal proprio conto ed il pagamento di una piccola commissione in denaro (Figura 4).
Procedendo, viene chiesto all’utente di inserire i propri dati personali e, successivamente, gli estremi della carta di credito al fine di addebitare la suddetta commissione di 1.99€ per ricevere il presunto premio (Figura 5)
Inseriti i dati richiesti, una pagina di caricamento simulerà il tentativo di pagamento, chiedendo alla potenziale vittima di acconsentire all’addebito (2FA) tramite la propria app bancaria (Figura 6).
Mitra ATT&CK
| Tattica | ID | Tecnica |
| Accesso iniziale | T1566 | Phishing : gli avversari inviano messaggi di phishing per ottenere l’accesso ai sistemi delle vittime. Questo include smishing, dove i messaggi di testo SMS sono utilizzati per ingannare le vittime. |
| T1566.003 | Phishing: Spearphishing via Servizio : utilizzo di servizi di terze parti, come SMS, per inviare messaggi di phishing mirati. | |
| Accesso alle credenziali | T1621 | Generazione di richieste di autenticazione multi-fattore: gli avversari possono tentare di bypassare i meccanismi di autenticazione multi-fattore generando richieste di MFA inviate agli utenti, sperando che questi approvino accidentalmente l’accesso. |
| Ricognizione | T1598 | Phishing for Information : gli avversari inviano messaggi di phishing per ottenere informazioni sensibili, come credenziali o dati della carta di credito. |
Azioni di mitigazione
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
- evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
- evitare di dar seguito a comunicazioni di questo tipo;
- segnalazione comunicazioni simili alla Polizia Postale ea questo CSIRT.
Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) 1 forniti in allegato.
1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC nella blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.
