Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Smishing: campagna a tema promozioni TIM (AL01/240930/CSIRT-ITA)

Data:
30 Settembre 2024 11:41

IoC_AL01_0930

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna malevola, veicolata tramite SMS (smishing) e indirizzata agli utenti dell’operatore TIM, volta a carpire informazioni sensibili ed estremi bancari

L’SMS (Figura 1) esorta la potenziale vittima a visitare il link presente nel corpo del testo, facendo leva sulla presunta scadenza di punti Point Service utili per riscattare eventuali premi.

preview
Figura 1-SMS di phishing

Qualora dato seguito al link, un’apposita pagina di benvenuto richiede l’inserimento del numero di telefono o della e-mail per poter verificare i punti eventualmente in scadenza (Figura 2).

preview
Figura 2-Richiesta di inserimento cellulare/e-mail

Inserito il numero di cellulare o l’indirizzo e-mail, un’apposita pagina informa che i presunti punti accumulati sono in scadenza, esortando l’utente ad utilizzarli prima del termine del periodo di validità (Figura 3).

preview
Figura 3-Promemoria di scadenza punti

Successivamente, viene pubblicizzata la possibilità di ottenere un buono sconto o una gift card dal valore di 50€, previa la decurtazione dei punti dal proprio conto ed il pagamento di una piccola commissione in denaro (Figura 4).

preview
Figura 4-Catalogo buoni sconto

Procedendo, viene chiesto all’utente di inserire i propri dati personali e, successivamente, gli estremi della carta di credito al fine di addebitare la suddetta commissione di 1.99€ per ricevere il presunto premio (Figura 5)

preview
Figura 5-Richiesta inserimento dati sensibili

Inseriti i dati richiesti, una pagina di caricamento simulerà il tentativo di pagamento, chiedendo alla potenziale vittima di acconsentire all’addebito (2FA) tramite la propria app bancaria (Figura 6).

preview
Figura 6-Richiesta autorizzazione pagamento

Mitre ATT&CK

 

Tattica

ID

Tecnica

Initial Access

T1566

Phishing: gli avversari inviano messaggi di phishing per ottenere
accesso ai sistemi delle vittime. Questo include smishing, dove i messaggi di
testo SMS sono utilizzati per ingannare le vittime.

T1566.003

Phishing: Spearphishing via Service: utilizzo di servizi
di terze parti, come SMS, per inviare messaggi di phishing mirati.

Credential Access

T1621

Multi-Factor Authentication
Request Generation: gli avversari
possono tentare di bypassare i meccanismi di autenticazione multi-fattore
generando richieste di MFA inviate agli utenti, sperando che questi approvino
accidentalmente l’accesso.

Reconnaissance

T1598

Phishing for Information: gli avversari inviano
messaggi di phishing per ottenere informazioni sensibili, come credenziali o
dati della carta di credito.

 Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
  • evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
  • evitare di dar seguito a comunicazioni di questo tipo;
  • segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)1 forniti in allegato.

 

1Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.