Con l’avvicinarsi del Black Friday, uno degli eventi di shopping più attesi dell’anno, i consumatori sono alla ricerca delle migliori offerte. Tuttavia, questa frenesia di acquisti attira anche l’attenzione di attori malevoli. Tra questi, un gruppo di cyber criminali cinesi noto come SilkSpecter ha lanciato una campagna di phishing mirata a sfruttare l’occasione per rubare informazioni sensibili. Lo rende noto il team di sicurezza informatica EclecticIQ in un rapporto pubblicato di recente.
SilkSpecter
SilkSpecter è un gruppo di minaccia finanziariamente motivato, noto per le sue sofisticate tecniche di phishing. Si ritiene che SilkSpecter sia cinese, in base all’utilizzo di indirizzi IP e ASN cinesi, ai registrar di domini, alle prove linguistiche nel codice dei siti e al precedente utilizzo della piattaforma cinese Software as a Service (SaaS) denominata “oemapps” e che consente a SilkSpecter di creare rapidamente siti di e-commerce falsi e convincenti che ingannano gli utenti.
Questo gruppo ha recentemente intensificato le sue attività, prendendo di mira gli acquirenti del Black Friday in Europa e negli Stati Uniti, utilizzando siti web che imitano negozi online legittimi, offrendo sconti irresistibili su prodotti popolari. Per questi siti il gruppo solitamente utilizza domini di primo livello come “.shop”, “.store”, “.vip” e “.top” che, come noto, non sono generalmente associati a grandi marchi o siti di e-commerce affidabili.
Questi siti impersonano marchi noti come The North Face, Lidl, Bath & Body Works, LL Bean, Wayfair, Makita, IKEA e Gardena.
Metodologia di attacco
La campagna di SilkSpecter si distingue per l’uso di tecniche avanzate per rendere i loro siti di phishing più credibili. Una delle tattiche principali è l’adattamento dinamico della lingua del sito web in base alla posizione IP della vittima. Infatti a seconda della posizione della vittima, il sito web utilizza Google Translate per adattare automaticamente la lingua sui siti fraudolenti. Inoltre i nomi di dominio utilizzati nella campagna includono spesso riferimenti espliciti al Black Friday, rivolgendosi chiaramente agli acquirenti online in cerca di offerte scontate.
Obiettivi e danni potenziali
Gli obiettivi principali di SilkSpecter sono le informazioni personali e finanziarie degli utenti, come i dati delle carte di credito (CHD) e le informazioni di identificazione personale (PII). Una volta ottenute, queste informazioni possono essere utilizzate per frodi finanziarie, furti di identità e altre attività illecite. Infatti quando gli utenti tentano di acquistare da quei siti, vengono reindirizzati a una pagina di pagamento che chiede loro di inserire il numero della carta di credito, la data di scadenza, il codice CVV e un numero di telefono (i ricercatori ritengono che il numero di telefono sia necessario per gestire le richieste di autenticazione a due fattori (2FA) durante le transazioni).
Dopo avere rubato il denaro per il falso ordine abusando del servizio legittimo Stripe, i dati della carta immessi vengono inviti a un server controllato dagli attaccanti.
Come proteggersi
Per proteggersi da queste minacce, è fondamentale adottare alcune precauzioni.
Si consiglia di:
- visitare solo i siti web dei brand ufficiali e di evitare di cliccare con superficialità su annunci e link propinati su post o tramite risultati di ricerca.
- Installare e aggiornare regolarmente software antivirus e antimalware.
- Controllare frequentemente gli estratti conto bancari per individuare eventuali transazioni sospette.
Conclusione
La campagna di phishing di SilkSpecter rappresenta una minaccia significativa per gli acquirenti del Black Friday. Essere consapevoli delle tecniche utilizzate da questi cyber criminali e adottare misure preventive può aiutare a proteggere le proprie informazioni personali e finanziarie durante la stagione degli acquisti.