Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Rilevata nuova campagna di smishing a tema corrispondenza (AL03/241217/CSIRT-ITA)

Data:
17 Dicembre 2024 15:10

Sintesi

È stato rilevato il riacutizzarsi di una campagna di smishing a tema corrispondenza – come già trattato da questo CSIRT nell’ambito dell’AL02/230713/CSIRT-ITA – che sfrutta nomi e loghi riferibili ai servizi erogati da Poste Italiane.

Descrizione e potenziali impatti

È stato rilevato il riacutizzarsi di una campagna di smishing a tema corrispondenza – come già trattato da questo CSIRT nell’ambito dell’AL02/230713/CSIRT-ITA – che sfrutta nomi e loghi riferibili ai servizi erogati da Poste Italiane, veicolata mediante SMS opportunamente predisposti (Figura 1).

Figura 1 - SMS di phishing
Figura 1 – SMS di phishing

 

Il testo dell’SMS notifica la mancata consegna di una corrispondenza ed esorta la potenziale vittima a visitare il link hxxps[://]business-posteiit[.]click/i presente nel corpo del testo al fine di indicare l’indirizzo per la consegna.

Qualora dato seguito al link, l’utente viene reindirizzato verso la landing page (Figura 2) riportante i loghi di Poste Italiane, nella quale è presente un riepilogo dettagliato della presunta spedizione non andata a buon fine.

Nel dettaglio, il dominio business-posteiit[.]click risulta essere stato creato in data 17/12/2024 verosimilmente per condurre attività fraudolente.

Figura 2 - Riepilogo mancata consegna
Figura 2 – Riepilogo mancata consegna

 

Qualora si proceda alla pianifica della nuova consegna si presenterà un form volto a raccogliere informazioni sensibili (Figura 3), quali:

  • Nome
  • Cognome
  • Numero di cellulare
  • Email
  • Indirizzo
  • Città
  • Stato/Provincia/Regione
  • Codice di avviamento postale

Figura 3 - Pagina per la raccolta dei dati utente
Figura 3 – Pagina per la raccolta dei dati utente

Procedendo con l’inserimento dei dati, si presenta all’utente un form nel quale viene richiesto l’inserimento dei dati della carta di credito per l’addebito di €0.27 quali commissione per la fruizione del servizio. (Figura 3).

Figura 4 - Pagina per inserimento dati carta di credito
Figura 4 – Pagina per inserimento dati carta di credito

Nel caso si proceda all’inserimento dei dati, all’utente sarà presentata una pagina di caricamento.

Non potendo completare il processo di inserimento dati con informazioni reali, è verosimile pensare che l’infrastruttura dell’attaccante effettui un controllo sulla validità della carta di credito e la conseguente richiesta di codici OTP per il completamento dell’attività fraudolenta.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;
  • evitare di inserire i propri estremi bancari su portali di cui non si conosce l’affidabilità;
  • verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
  • nel caso in cui si fossero inseriti gli estremi della propria carta di credito contattare quanto prima il proprio Istituto bancario al fine di richiedere il blocco della carta utilizzata;
  • evitare di dar seguito a comunicazioni di questo tipo.

 

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)[1].

 

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.