Lo CSIRT Italia ha recentemente rilevato una campagna di smishing che prende di mira gli utenti di Hype, un servizio bancario digitale molto popolare. Questa campagna fraudolenta utilizza messaggi SMS per ingannare le vittime e rubare le loro credenziali bancarie. Ecco un’analisi dettagliata di come funziona questa truffa e come proteggersi.
Come funziona la truffa
1. Invio dell’SMS fraudolento: Gli utenti ricevono un SMS che sembra provenire da Hype, informandoli della necessità di aggiornare i dati del proprio account per evitare frodi. L’SMS contiene un link che, se cliccato, reindirizza la vittima a un sito web falso.
2.Pagina di phishing: Il link nell’SMS porta a una pagina web che imita il sito ufficiale di Hype. Questa pagina chiede agli utenti di inserire le loro credenziali bancarie, come nome utente e password.
3.Raccolta delle credenziali: Una volta inseriti, i dati vengono inviati ai truffatori. Successivamente, la vittima viene reindirizzata a un’altra pagina che richiede l’inserimento di un codice OTP (One-Time Password) ricevuto via SMS.
4. Finta assistenza: Dopo aver inserito il codice OTP, la vittima viene informata di un errore nell’elaborazione della richiesta e viene avvisata che sarà contattata da un operatore. Questo passaggio serve a instaurare una conversazione diretta con la vittima per ottenere ulteriori informazioni sensibili.
Impatti potenziali
Questa campagna di smishing può avere gravi conseguenze per le vittime, tra cui:
- Furto di identità: Le credenziali rubate possono essere utilizzate per accedere ai conti bancari delle vittime e sottrarre fondi.
- Perdita di dati sensibili: Oltre alle credenziali bancarie, i truffatori possono raccogliere altre informazioni personali che possono essere utilizzate per ulteriori attacchi.
Azioni di mitigazione
Per proteggersi da questa e altre campagne di smishing, è fondamentale adottare le seguenti misure:
- Verificare l’autenticità dei messaggi: Non cliccare su link inaspettati e verificare sempre l’autenticità dei messaggi ricevuti.
- Formazione e consapevolezza: Partecipare a sessioni di formazione per riconoscere tentativi di phishing, smishing e vishing.
- Segnalare i messaggi sospetti: Segnalare qualsiasi messaggio sospetto alla Polizia Postale e all’istituto bancario.
Ulteriori dettagli sul post CSIRT Italia.