Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema “sondaggio” – come già trattato da questo CSIRT nell’ambito dell’AL01/240613/CSIRT-ITA – che ripropone loghi e riferimenti inerenti la nota compagnia assicurativa Generali e volta a carpire le informazioni personali delle potenziali vittime, compresi gli estremi delle carte di credito.

Nel dettaglio, le e-mail (Figura 1) pubblicizzano la possibilità di ottenere un kit di emergenza per auto gratuito, partecipando a un sondaggio apparentemente legittimo contenente domande relative al gradimento dei servizi forniti dall’azienda (Figura 2).

Al termine del sondaggio, viene proposta una schermata contenente il riepilogo del premio, un link per poter riscuotere la presunta vincita ed un box contenente dei presunti feedback positivi da parte di presunti utenti. Inoltre, nella parte inferiore della pagina è presente un countdown che esorta ad eseguire le varie operazioni celermente (Figura 3).

Qualora dato seguito a tale link, sono mostrate all’utente le indicazioni per reclamare il premio che consistono nel fornire i propri dati personali e, successivamente, gli estremi della carta di credito al fine di addebitare una commissione di 2€ per ricevere il presunto premio (Figura 4 e 5).

Inseriti i dati richiesti, una pagina di caricamento simulerà il tentativo di pagamento non andato a buon fine (Figura 6), con un messaggio che indica le possibili motivazioni che hanno portato ad una non corretta transazione.

Inoltre, in tale pagina è presente una chat di supporto: qualora si tenti di interagire con essa un bot chiederà di descrivere il problema e in caso reindirizzerà la vittima verso nuove pagine di inserimento dati sensibili (Figura 7 e 8).

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali, nel caso in esame @generali.it o @generali.com;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa: eventuali sondaggi legittimi – oltre ad essere sponsorizzati anche tramite canali social – dovrebbero portare l’utenza verso il sito ufficiale dell’organizzazione promotrice;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali: organizzazioni legittime non richiedono l’inserimento di dati sensibili, come i dati delle carte di credito, tramite sondaggi.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)¹ forniti in allegato.

Riferimenti correlati

https://www.csirt.gov.it/contenuti/campagne-phishing-a-tema-sondaggio-al01-240613-csirt-ita

https://www.csirt.gov.it/contenuti/campagna-phishing-a-tema-sondaggio-trenitalia-al03-240322-csirt-ita

¹Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

IoC_AL01_1213