Il CSIRT ha rilevato una campagna di phishing via SMS (smishing) a tema Poste Italiane, mirata a carpire credenziali d’accesso ai servizi bancari e dati delle carte di pagamento.

L’SMS, che tramite tecniche di spoofing finisce nel thread legittimo di PosteInfo, eventualmente già presente nella cronologia dei messaggi, inganna la potenziale vittima facendo credere che sia necessario effettuare delle operazioni per evitare il blocco della carta, inducendo l’utente a cliccare su un URL fraudolento.

Fonte: CSIRT Italia.

Dettagli della campagna di smishing

L’SMS informa la vittima della necessità di azioni urgenti per evitare il blocco della carta, includendo un link malevolo (hxxps[://]25-logdecret[.]es/on/25).

Le successive richieste presentate e del tutto false possono essere così schematizzate (si tratta di form propinati in cascata che raccolgono diversi informazioni e le trasmettono tramite metodo POST e pagine PHP al server presidiato):

• Finta pagina di inserimento dati: il link reindirizza (solo se cliccato da smartphone, ndr) a una pagina fasulla con i loghi di Poste Italiane, che chiede di inserire nome, cognome e numero di telefono.
• Richiesta credenziali di accesso: dopo aver inserito i dati personali, viene richiesto l’inserimento delle credenziali di accesso ai servizi bancari (nome utente, password) (hxxps[://]25-logdecret[.]es/on/25/accesso[.]php).
• Richiesta dati della carta di pagamento: successivamente, vengono richiesti i dati della carta di pagamento (hxxps[://]25-logdecret[.]es/on/25/carta[.]php).
• Codice di autorizzazione: La vittima viene poi esortata a inserire un “Codice Autorizzazione” ricevuto tramite SMS, o il “CODICE DISPOSITIVO CONTO” per gli utenti BancoPosta (hxxps[://]25-logdecret[.]es/on/25/conferma[.]php).

Fonte: CSIRT Italia.

• Verifica dei dati: Viene mostrato un messaggio di verifica dei dati, con la promessa di un contatto da parte di un operatore entro 30 minuti per ottenere ulteriori informazioni necessarie alla truffa che potrebbe continuare secondo con le modalità del vishing (hxxps[://]25-logdecret[.]es/on/25/ok[.]php).

Fonte: CSIRT Italia.

“Tale passaggio è verosimilmente finalizzato ad avviare una conversazione diretta con la vittima per ricevere ulteriori informazioni necessarie per portare a compimento la truffa e garantire all’attaccante l’operatività sul conto e sulle carte di pagamento.”, spiegano i ricercatori del CSIRT Italia nel rapporto.

Consigli per difendersi dallo smishing

La campagna di phishing mira a ottenere informazioni personali e finanziarie delle vittime, facilitando l’accesso non autorizzato ai conti bancari e il furto di fondi.

Di seguito alcuni consigli per evitare di cadere in una truffa di smishing:

1. Non fidarsi ciecamente degli SMS ricevuti, anche se sembrano provenire da fonti affidabili come Poste Italiane. Verificare sempre l’autenticità del mittente contattando direttamente l’ente tramite i canali ufficiali.
2. Evitare di cliccare su link presenti in messaggi non richiesti o sospetti. In caso di dubbi, visitare il sito ufficiale dell’ente digitando l’URL direttamente nel browser.
3. Non inserire mai dati personali o finanziari in siti web raggiunti tramite link presenti in SMS. Gli enti ufficiali non richiedono queste informazioni tramite SMS.
4. Assicurarsi che l’URL del sito web sia corretto e ufficiale. Gli URL falsi spesso contengono errori di ortografia o domini insoliti.
5. Informarsi e informare i propri familiari e amici sui rischi delle truffe di smishing e su come riconoscerle e segnalare comunicazioni simili alla Polizia Postale e al CSIRT Italia.

Seguendo questi consigli, è possibile ridurre significativamente il rischio di cadere vittima delle varie forme di phishing, proteggere i propri dati personali e finanziari, ma anche evitare che le truffe colpiscano altri.

Il CSIRT Italia esorta, inoltre, gli amministratori IT di valutare l’implementazione sugli apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti.