Smishing, allarme per gli utenti Hype

Lo CSIRT Italia ha recentemente rilevato una campagna di smishing che prende di mira gli utenti di Hype, un servizio bancario digitale molto popolare. Questa campagna fraudolenta utilizza messaggi SMS per ingannare le vittime e rubare le loro credenziali bancarie. Ecco un’analisi dettagliata di come funziona questa truffa e come proteggersi.

Come funziona la truffa

1. Invio dell’SMS fraudolento: Gli utenti ricevono un SMS che sembra provenire da Hype, informandoli della necessità di aggiornare i dati del proprio account per evitare frodi. L’SMS contiene un link che, se cliccato, reindirizza la vittima a un sito web falso.

2.Pagina di phishing: Il link nell’SMS porta a una pagina web che imita il sito ufficiale di Hype. Questa pagina chiede agli utenti di inserire le loro credenziali bancarie, come nome utente e password.

Fonte CSIRT Italia

3.Raccolta delle credenziali: Una volta inseriti, i dati vengono inviati ai truffatori. Successivamente, la vittima viene reindirizzata a un’altra pagina che richiede l’inserimento di un codice OTP (One-Time Password) ricevuto via SMS.

4. Finta assistenza: Dopo aver inserito il codice OTP, la vittima viene informata di un errore nell’elaborazione della richiesta e viene avvisata che sarà contattata da un operatore. Questo passaggio serve a instaurare una conversazione diretta con la vittima per ottenere ulteriori informazioni sensibili.

Fonte CSIRT Italia

Impatti potenziali

Questa campagna di smishing può avere gravi conseguenze per le vittime, tra cui:

  • Furto di identità: Le credenziali rubate possono essere utilizzate per accedere ai conti bancari delle vittime e sottrarre fondi.
  • Perdita di dati sensibili: Oltre alle credenziali bancarie, i truffatori possono raccogliere altre informazioni personali che possono essere utilizzate per ulteriori attacchi.

Azioni di mitigazione

Per proteggersi da questa e altre campagne di smishing, è fondamentale adottare le seguenti misure:

  • Verificare l’autenticità dei messaggi: Non cliccare su link inaspettati e verificare sempre l’autenticità dei messaggi ricevuti.
  • Formazione e consapevolezza: Partecipare a sessioni di formazione per riconoscere tentativi di phishing, smishing e vishing.
  • Segnalare i messaggi sospetti: Segnalare qualsiasi messaggio sospetto alla Polizia Postale e all’istituto bancario.

Ulteriori dettagli sul post CSIRT Italia.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.