Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing a tema Hype, perpetrata via SMS, e volta a carpire le credenziali d’accesso ai servizi bancari.

L’SMS, di cui si riporta uno screenshost in Figura 1, informa la potenziale vittima della necessità di aggiornare i dati del proprio account bancario al fine di evitare frodi, inducendo la vittima a cliccare sull’URL hxxp[://]bit[.]ly/aggiornadatihype che funge da redirect verso la risorsa finale ospitata su hxxp[://]ke[.]volatilizara[.]za[.]com.

Figura 1 – SMS ricevuto dalla vittima

L’URL finale mostra una finta pagina di inserimento dati (Figura2) riportante i loghi di Hype e volta a raccogliere le credenziali utilizzate per l’accesso al proprio account bancario.

Figura 2 – pagina di phishing

I dati immessi vengono inviati via POST allo stesso URL e l’utente viene successivamente reindirizzato all’URL hxxp[://]ke[.]volatilizara[.]za[.]com/otp[.]php (Figura 3) dove viene esortato a inserire il codice ricevuto via SMS sul numero di cellulare precedentemente indicato:

Figura 3 – pagina di richiesta chiamata

Cliccando sul pulsante “CONTINUA” si viene reindirizzati a un’ulteriore pagina all’URL hxxp[://]ke[.]volatilizara[.]za[.]com/errore[.]php (Figura 4) nella quale si avvisa di un errore nell’elaborazione della richiesta e si informa l’utente che verrà contattato da un operatore, verosimilmente con lo scopo di iniziare una conversazione diretta con la vittima, al fine di ottenere ulteriori informazioni necessarie all’accesso sul sito dell’istituto di credito.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)¹ forniti in allegato.

¹Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.