Settimana 19: Malware da presunta e-mail delle FFS

Service navigation

Ricerca

Navigazione

Settimana 19: Malware da presunta e-mail delle FFS

13.05.2025 - Attualmente stanno circolando e-mail fasulle che sembrano provenire da SwissPass o dalle FFS. L’Ufficio federale della cibersicurezza (UFCS) riceve regolarmente segnalazioni in merito: nella maggior parte dei casi si tratta di tentativi di phishing. Attualmente sta circolando una variante particolarmente riuscita, che punta a infettare dispositivi Android con un malware.

Dalla settimana scorsa l’UFCS continua a ricevere segnalazioni riguardanti presunte e-mail delle FFS, redatte in francese, che notificano un acquisto sospetto di un biglietto per 224 franchi effettuato da un dispositivo sconosciuto. Per comprovare se effettivamente si tratta di un acquisto illecito, s’invita il destinatario a cliccare sul comando «Ce n’était pas moi» («Non sono stato io»).

Presunte e-mail fraudolente delle FFS.
Presunte e-mail fraudolente delle FFS.

Cliccando sul tasto si apre una pagina che mostra un presunto biglietto da Parigi a Strasburgo. Appare anche un codice QR privo di funzione per dare maggiore credibilità all’aspetto ufficiale del messaggio, oltre a un presunto numero di prenotazione. Numerosi punti esclamativi e avvisi sottolineano l’urgenza dell’incidente: è una caratteristica tipica delle e-mail fraudolente. La vittima è infatti esortata ad agire rapidamente, senza avere così il tempo di notare le incongruenze.

Sito web di un presunto acquisto di un biglietto da Parigi a Strasburgo.
Sito web di un presunto acquisto di un biglietto da Parigi a Strasburgo.

Per modificare o annullare l’acquisto, è necessario inserire i propri dati personali nella finestra successiva. Oltre al nome e all’indirizzo occorre anche indicare il metodo di pagamento e le coordinate bancarie. Al più tardi a questo passaggio chiunque dovrebbe insospettirsi, perché le coordinate bancarie non sono rilevanti e assolutamente prive di necessità in un caso simile.

Per annullare il presunto acquisto, è necessario fornire prima i dati personali, tra cui il metodo di pagamento e le coordinate bancarie.
Per annullare il presunto acquisto, è necessario fornire prima i dati personali, tra cui il metodo di pagamento e le coordinate bancarie.

Il modus operandi ricorda un tipico tentativo di phishing. Nel quadro del phishing classico, al passaggio successivo si richiederebbe una password o i dati della carta di credito.

In questa variante la truffa prende una piega diversa: cliccando sul comando si scarica un cosiddetto file apk. Gli utenti Android conoscono questo tipo di file: si tratta di un pacchetto di installazione per le app Android. Si tratta in realtà di un malware, progettato per rubare dati sensibili. Scaricando semplicemente il file, il telefono cellulare non viene infettato: per farlo è necessario prima installarlo. Questa operazione può essere eseguita solo dalla vittima. Per questo nella fase finale i criminali spiegano dettagliatamente ai malcapitati come installare il file apk sul telefono, soffermandosi in particolare sulla disattivazione dei meccanismi di sicurezza. Di norma sul telefono mobile vengono installate solo le app scaricate dallo store ufficiale. Poiché il file propinato dagli hacker non è ufficiale, occorre dapprima modificare l’opzione corrispondente e attivare l’installazione da «fonti sconosciute». Seguendo le istruzioni dei truffatori il malware viene così installato sul dispositivo.

Istruzioni dettagliate per l’installazione del malware sul telefono Android.
Istruzioni dettagliate per l’installazione del malware sul telefono Android.

Infine è possibile addirittura informare dell’avvenuta installazione del malware o richidere assistenza in caso di problemi. L’UFCS non è stato in grado di verificare cosa succede quando si clicca sul comando «Richiedere assistenza». Probabilmente saranno proprio i truffatori a chiamare per fornire “assistenza”. Il numero di telefono è stato in effetti fornito dalla vittima nel modulo compilato anteriormente.

Insieme ai dati forniti in precedenza, come le coordinate bancarie e il numero di telefono della vittima, i truffatori dispongono a questo punto di un’ampia gamma di possibilità di attacco. Possono utilizzare queste informazioni per effettuare attacchi mirati contro i dati di accesso, manipolare le transazioni finanziarie o abusare dei dati personali.

Raccomandazioni

  • Non installate mai un programma da un sito web su cui siete approdati cliccando su un link contenuto in un’e-mail o in un SMS.
  • Installate solo i programmi e le applicazioni necessari e scaricateli sempre dal sito web del produttore o da un app store ufficiale.
  • Utilizzate app store alternativi solo se siete consapevoli dei potenziali rischi per la sicurezza e se vi fidate senza riserve delle fonti.
  • Se avete comunque installato un software di questo tipo, occorre far controllare il dispositivo da uno specialista e non effettuare transazioni bancarie o acquisti online durante questo periodo. Non inserite alcuna password.
  • Il ripristino delle impostazioni di fabbrica del dispositivo infetto è spesso l’unico modo per rimuovere il malware dal dispositivo.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 12.05.2025

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2025/wochenrueckblick_19.html