Settimana 8: Un presunto SMS del Consiglio federale e altre nuove varianti di phishing

28.02.2023 - Nell’ottava settimana dell’anno il numero di segnalazioni pervenute all’NCSC è tornato ad aumentare. I messaggi di phishing, via SMS o e-mail, sono tra i ciberfenomeni più diffusi. Generalmente si tratta di semplici attacchi standard. Nell’ultima settimana sono state tuttavia segnalate alcune nuove varianti particolarmente elaborate o originali. Sono stati osservati casi di presunti messaggi vocali, file PDF di phishing protetti da password e pagine web di phishing camuffate dietro offerte tardive per il contrassegno autostradale.

Dominio di phishing personalizzato in un presunto messaggio vocale

Per mascherare le loro cattive intenzioni, i cibercriminali escogitano sempre nuovi trucchi. La scorsa settimana, ad esempio, un destinatario di un’e-mail di phishing si è messo in contatto con noi perché temeva di finire in una lista nera. Un’analisi dettagliata ha permesso di constatare che i phisher avevano manipolato l’indirizzo del mittente in modo tale che il messaggio di posta elettronica sembrasse provenire dal destinatario. Poiché molte persone non sanno che falsificare il mittente è semplice, l’e-mail di phishing di cui sopra ha naturalmente fatto temere alla persona che l’ha notificata di poter essere segnalata come phisher e quindi di finire in una lista nera.

Ma in questo caso il falso mittente non era l’unica «personalizzazione». Anche il documento HTML mascherato da messaggio vocale nell’e-mail conteneva un link di phishing manipolato «ad hoc» per il destinatario. Per poter ascoltare il messaggio vocale, al destinatario è stato chiesto di cliccare sul link e di inserire le credenziali del proprio account di posta elettronica nella pagina che si apriva. Il suo indirizzo e-mail risultava già inserito nel campo dei dati di accesso.

Qui sopra, l’e-mail che sembra provenire dal destinatario. Sotto, invece, il documento HTML con lo script di phishing. L’indirizzo e-mail di accesso è già incorporato nel link di phishing e i messaggi di posta elettronica appaiono di conseguenza «personalizzati».
Qui sopra, l’e-mail che sembra provenire dal destinatario. Sotto, invece, il documento HTML con lo script di phishing. L’indirizzo e-mail di accesso è già incorporato nel link di phishing e i messaggi di posta elettronica appaiono di conseguenza «personalizzati».

Link di phishing in un file PDF protetto da password

in un’altra nuova variante osservata, l’e-mail sembrava inviata dal supporto della piattaforma di scambio di criptovalute «Coinbase» e conteneva un file PDF protetto da password. Nell’e-mail stessa vi era la password necessaria per aprire il file, il quale conteva, a sua volta, un link verso la piattaforma di phishing che ruba i dati di accesso a «Coinbase».

A sinistra, l’e-mail con la password. Il documento PDF allegato (a destra) con il link di phishing «nascosto» dietro il pulsante «Confirm now». Il documento può essere aperto inserendo la password contenuta nell’e-mail.
A sinistra, l’e-mail con la password. Il documento PDF allegato (a destra) con il link di phishing «nascosto» dietro il pulsante «Confirm now». Il documento può essere aperto inserendo la password contenuta nell’e-mail.

L’invio di un documento protetto insieme alla password necessaria per aprirlo fornisce all’incirca lo stesso livello di sicurezza, ad esempio, di una cassaforte con la combinazione inserita.
La crittografia serve solo a impedire un’analisi automatica del PDF da parte di programmi antivirus o di altri software di sicurezza. Si tratta quindi sempre di una fondata indicazione di malware o phishing.

Un SMS apparentemente proveniente dal Consiglio federale conduce a un sito di phishing «camuffato»

Il fatto che il Consiglio federale si rivolga direttamente ai cittadini con un messaggio non è una novità, ma finora non sono mai stati inviati SMS. In questo caso è stato segnalato all’NCSC un SMS che sembra provenire dal Consiglio federale in cui si promette un rimborso d’imposta pari a 160 franchi. Chi clicca sul link di phishing finisce su una pagina web con il logo dell’Amministrazione federale in cui sono chiesti i dati della carta di credito per il presunto rimborso d’imposta. Questa pagina web nasconde le cattive intenzioni dell’aggressore: cliccando sul link, l’utente finisce solitamente sul sito di phishing. Tuttavia, se si esegue un’analisi automatica, come fa ad esempio l’NCSC, la pagina cerca di riconoscerlo e al posto del sito di phishing viene visualizzata un’innocua pagina di notizie in lingua araba. Questo meccanismo ha lo scopo di impedire l’analisi automatica da parte degli specialisti della sicurezza.

A sinistra l’SMS di phishing («smishing»); a destra, invece, la pagina di phishing identificata. Un dettaglio non da poco: pubblicizza anche l’app VoteInfo della Confederazione.
A sinistra l’SMS di phishing («smishing»); a destra, invece, la pagina di phishing identificata. Un dettaglio non da poco: pubblicizza anche l’app VoteInfo della Confederazione.

Shop online di phishing apparentemente de La Posta

A quanto pare, per i ritardatari che non hanno ancora acquistato il contrassegno autostradale, un metodo di phishing già noto propone una «grande» offerta speciale. La novità è che il link di phishing porta a uno shop online apparentemente de La Posta.

A sinistra l’e-mail di phishing con l’offerta; a destra, il falso shop online de La Posta. La pagina web è strutturata così male che non è nemmeno possibile modificare il numero di contrassegni da ordinare.
A sinistra l’e-mail di phishing con l’offerta; a destra, il falso shop online de La Posta. La pagina web è strutturata così male che non è nemmeno possibile modificare il numero di contrassegni da ordinare.

La pagina web è strutturata così male che i link non funzionano e non è possibile modificare nemmeno il numero di contrassegni da ordinare. Si può ben immaginare che i dati delle carte di credito trafugati finiscano comunque nelle mani dei phisher.

Raccomandazioni:

  • Attivate, se possibile, un’autenticazione a due fattori. Ciò garantisce un maggiore livello di protezione per impedire che il vostro account venga infiltrato.
  • Nessuna banca e nessun emittente di carte di credito vi chiederà mai di modificare una password o di verificare i dati della carta di credito via e-mail.
  • Non inserite mai dati personali come password o dati della carta di credito su un sito Internet aperto tramite un link contenuto in un’e-mail o un SMS.
  • Ricordatevi che i mittenti delle e-mail possono essere falsificati facilmente.
  • Siate scettici se ricevete e-mail formulate in modo da risvegliare la vostra curiosità o che richiedono da voi un’azione minacciandovi con eventuali conseguenze (perdita di denaro, denuncia penale o procedura giudiziaria, blocco del conto o della carta, opportunità sfumata, sfortuna).

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 28.02.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/wochenrueckblick_8.html