Settimana 22: lo smishing diventa vishing

06.06.2023 - La scorsa settimana l’NCSC ha ricevuto la segnalazione di un interessante caso di phishing che combinava SMS e chiamate. Benché avesse già inserito i dati della carta di credito su un sito web aperto da un SMS di phishing, la vittima è riuscita a fermare il pagamento grazie a efficaci misure di sicurezza. Quando i phisher se ne sono accorti, hanno chiamato la vittima per offrire supporto al telefono.

Il tentativo di smishing segnalato comincia con un classico SMS apparentemente inviato da Netflix. L’SMS informa il destinatario che l’ultimo pagamento non è andato a buon fine e che perciò è necessario riattivare l’account cliccando sul link incluso nel messaggio.

SMS di phishing inviati agli utenti di Netflix con un link e l’avviso di aver ricevuto una presunta password usa e getta («one-time password», OTP).
SMS di phishing inviati agli utenti di Netflix con un link e l’avviso di aver ricevuto una presunta password usa e getta («one-time password», OTP).

La vittima clicca quindi sul link e viene reindirizzata su un modulo fasullo che chiede di inserire vari dati. Oltre a indirizzo e-mail, nome, numero di telefono e password di Netflix, indica anche il numero della carta di credito, la data di scadenza e il codice CVV di tre cifre.

A sinistra: la pagina di phishing che chiede di inserire i dati personali. A destra: la pagina con cui vengono sottratti i dati della carta di credito.
A sinistra: la pagina di phishing che chiede di inserire i dati personali. A destra: la pagina con cui vengono sottratti i dati della carta di credito.

I truffatori effettuano poi un pagamento usando i dati ricevuti dalla vittima. Fortunatamente, nel caso in questione, sulla carta di credito era stato attivato il metodo di sicurezza aggiuntivo 3D-Secure, che richiede una conferma da parte della vittima. A questo punto la frode viene scoperta e il pagamento non viene autorizzato. Fino a questo momento il modus operandi corrisponde a quello di un classico tentativo di phishing in cui le misure di sicurezza si dimostrano efficaci.

Gli aggressori non si danno per vinti: lo smishing diventa vishing

Ovviamente, l’aggressore nota subito il blocco del pagamento. Quindi, deciso a ottenere il suo denaro, telefona alla vittima con un numero svizzero fingendosi un dipendente di Netflix. Durante il colloquio il truffatore promette di aiutare la vittima a sbloccare il suo account apparentemente bloccato e a effettuare il pagamento. Avendo già smascherato il phisher, essa declina l’offerta. L’interlocutore insiste un’ultima volta, invitandola a prendersi del tempo per ripensarci, ma questa termina invece la telefonata.

Ultimamente all’NCSC vengono segnalati spesso dei tentativi di voice phishing (vishing). I chiamanti si spacciano per dipendenti di un’emittente di carte di credito o di una banca e sostengono di voler chiarire con l’utente una prenotazione errata o informarlo circa un aggiornamento dell’e-banking. Per questo tipo di chiamate viene spesso utilizzata la telefonia via Internet, così i numeri possono essere falsificati o nascosti.

Raccomandazioni:

  • Siate prudenti quando ricevete SMS o chiamate che vi chiedono di cliccare su un link o di rivelare informazioni sensibili, anche se vi sembra di conoscere il numero.
  • In caso di dubbio, ignorate l’SMS o interrompete la chiamata e contattate l’azienda interessata attraverso i suoi canali ufficiali.
  • Non inserite mai dati personali come password o dati della carta di credito su un sito Internet aperto tramite un link ricevuto via e-mail o SMS.
  • Se possibile, impostate sempre un secondo fattore di autenticazione. Ciò garantisce un maggiore livello di protezione per impedire che il vostro account venga violato.
  • Nessuna banca e nessun emittente di carte di credito vi chiederà mai di modificare la password o di verificare i dati della carta di credito via e-mail o al telefono.
  • Non appena vi accorgete di aver inserito la password su un sito di phishing, modificatela immediatamente su tutti i servizi in cui la utilizzate.
  • Se avete fornito i dati della carta di credito, contattate immediatamente l’emittente per farla bloccare.
  • Se si tratta della password dell’e-mail cambiate anche tutte le password del fornitore di servizi Internet associate all’account.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 06.06.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/wochenrueckblick_22.html