Nel solo mese di Ottobre che ci stiamo lasciando alle spalle 54 sarebbero le campagne phishing mensili totali che hanno coinvolto solo i primi tre brand maggiormente presi di mira in Italia: Poste (24), IntesaSanpaolo (21) e Aruba (9). Questo dato emerge dalla pagina delle statistiche del CERT-AgID.
Solito modus operandi
Il modus operandi di queste campagne è pressoché simile. Tramite l’invio di messaggi ingannevoli e allarmanti, i truffatori seriali tentano, impersonando il sito web di un ente o istituto bancario, di svuotare spudoratamente i conti bancari dei malcapitati interlocutori con vari espedienti.
La campagna truffa IntesaSanpaolo
Ecco di seguito l’analisi di una di queste campagne che ha preso di mira i clienti di banca IntesaSanpaolo.
In questo caso il vettore iniziale è un messaggio di posta elettronica con oggetto “La sicurezza del tuo dispositivo è scaduta”, che invita a seguire una procedura di attivazione proposta cliccando un pulsante verde “Attiva il tuo Account”.
In realtà il link in esso nascosto porta ad un sito truffa che riproduce grafica e loghi dell’istituto bancario.
La successione delle richieste
Il form “Accedi alla tua banca online” risulta implementato per inviare tramite una richiesta Http POST ed una pagina PHP il codice e il pin del Titolare eventualmente inseriti e avviare una serie di pagine per ulteriori richieste dati (estremi carta di credito e codici sms OTP) che finiranno nelle mani degli impostori, con tutte le gravi conseguenze del caso.
Di seguito è riportata la successione delle pagine.
Raccomandazioni
Come al solito si raccomanda sempre di inserire le proprie credenziali di accesso esclusivamente su app e siti ufficiali utilizzando i canali convenzionali, evitando di rispondere a richieste di dati personali e bancari cliccando su link ricevuti tramite SMS, e-mail o messaggistica istantanea, ricordando che le banche e gli enti non chiedono mai di conoscere le credenziali dei propri utenti.
IoC
Ulteriori IoC della campagna sono disponibili sul post X.