Sintesi

Questo CSIRT ha recentemente rilevato una campagna di smishing a tema Intesa Sanpaolo, perpetrata via SMS, volta a carpire le credenziali d’accesso ai servizi bancari.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di smishing a tema Intesa Sanpaolo, perpetrata via SMS, volta a carpire le credenziali d’accesso ai servizi bancari.

L’SMS, di cui si riporta uno screenshost in Figura 1, informa la potenziale vittima della necessità di aggiornare i dati del proprio account bancario al fine di evitare il blocco della carta, inducendo la vittima a cliccare sull’URL hxxps[://]segui-vista[.]site/It/int/

L’URL sopracitata si riferisce a una finta pagina di inserimento dati (Figura 2), riportante i loghi di Intesa Sanpaolo, predisposta per raccogliere dati personali dell’utente, quali Nome, Cognome e numero di telefono.

Dopo aver immesso i dati richiesti, all’utente viene presentata una nuova pagina di login (Figura 3) nella quale viene richiesto di inserire il codice cliente e il PIN con il quale l’utente accede ai propri servizi bancari.

Cliccando sul pulsante “ENTRA” si viene reindirizzati a un’ulteriore pagina (Figura 4) nella quale l’utente viene esortato a inserire un codice OTP.

Inserendo il codice OTP l’utente viene indirizzato ad una successiva risorsa (Figura 5) che mostra un errore nell’elaborazione della richiesta e un messaggio per l’utente che verrà contattato da un operatore. Tale passaggio è verosimilmente finalizzato ad avviare una conversazione diretta con la vittima per ricevere ulteriori informazioni necessarie per finalizzare la truffa e garantire all’attaccante l’accesso al sito dell’Istituto bancario.

La pagina di phishing (Figura 4) consente di sopperire all’inserimento del codice OTP e l’utente, tramite il pulsante “RICHIEDI CHIAMATA”, verrà reindirizzato su un’altra pagina (Figura 6) nella quale si avvisa di aver ricevuto la richiesta di assistenza e che l’utente verrà presto contattato da un operatore.

Figura 6 – pagina per la richiesta di chiamata

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)¹ forniti in allegato.

¹Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.