Smishing: nuova campagna a tema Hype (AL01/241115/CSIRT-ITA)

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato un riacutizzarsi di una campagna di phishing a tema Hype – come precedentemente trattato nell’ambito della AL02/240925/CSIRT-ITA – perpetrata via SMS, volta a carpire le credenziali d’accesso ai servizi bancari delle potenziali vittime.

L’SMS (Figura 1), proveniente da una numerazione apparentemente legittima, esorta la potenziale vittima a visitare il link presente nel corpo del testo, facendo leva sulla necessità di verificare la propria identità sul portale dell’istituto finanziario al fine di evitare un presunto blocco del conto bancario.

Qualora dato seguito al link e dopo un breve “splash screen” – volto a simulare il comportemento dell’app mobile legittima – viene proposto all’utenza un form di inserimento dati per accedere al servizio (Figura 2).

Proseguendo con l’inserimento dei dati, il portale avvisa l’utenza di un presunto errore durante la fase di login, rassicurando la vittima con un messaggio nel quale si informa che l’utente verrà ricontattato da un operatore, verosimilmente con lo scopo di iniziare una conversazione al fine di ottenere ulteriori informazioni necessarie all’accesso sul sito dell’istituto di credito (Figura 3).

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)¹ forniti in allegato.

¹Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.