E’ in atto una nuova campagna di phishing che coinvolge i clienti vodafone.
I truffatori allo scopo di carpire le credenziali delle vittime, inducono, attraverso un SMS apparentemente riconducibile al gestore telefonico a cliccare su di un link.
Nella fattispecie il messaggio, avvisa l’utente di controllare le modifiche apportate per aggiornamento attraverso il link proposto che reindirizza verso un form con loghi e grafica Vodafone (“vodafone-schedule[.]com”) sul quale viene richiesto di inserire dapprima delle credenziali e dopo un codice di autenticazione. In realtà i dati eventualmente forniti finiranno nelle mani dei truffatori che li utilizzeranno successivamente per scopi illeciti. Infatti il form nominato “loginform” invierà le informazioni tramite il metodo POST ad una pagina PHP “config.php” residente sullo stesso dominio. Dopo l’avvenuta ricezione l’utente viene reindirizzato sul portale ufficiale Vodafone.
Vale la pena notare che la pagina web vodafone-schedule[.]com possiede un certificato SSL gratuito Let’s Encrypt, risiede su di un dominio registrato dal servizio di hosting “hostinger.com” ed ha un indirizzo IP localizzato in Phoenix Arizona.
Al riguardo la Polizia Postale ha diramato un Alert con il quale raccomanda:
“Il primo consiglio è in ogni caso quello di non cliccare mai sui link ricevuti ma di loggarsi direttamente sulla piattaforma ufficiale, tramite browser o dall’applicazione. In generale, è importante non inserire mai dati personali e bancari, specialmente se si viene reindirizzati su un sito dopo aver cliccato su un link contenuto in un messaggio ricevuto.”
Ulteriori IoC
https://urlscan.io/result/4ca65c70-745a-4ec2-8772-7af052995f8a/
