Criticità

Medio (40.0)

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema corrispondenza – come già trattato da questo CSIRT nell’ambito del BL01/221124/CSIRT-ITA – volta a carpire le informazioni personali delle potenziali vittime, compresi gli estremi delle carte di credito.

La campagna esorta le potenziali vittime a visitare un portale opportunamente predisposto dove si evidenzia l’impossibilità di recapitare della corrispondenza a causa del mancato pagamento della presunta consegna (Figura 1).

Qualora venga dato seguito al link “Conferma”, viene presentato all’utente un riepilogo dettagliato della situazione da sanare, contenente un codice di tracciamento fittizio e le modalità per programmare una nuova data utile di consegna di quanto in giacenza (Figura 2).

Proseguendo, verranno richieste una serie di informazioni volte ad aumentare la presunta legittimità della spedizione, quali:

• modalità di ricezione del pacco: ritiro a domicilio o di persona;
• luogo di ritiro: a casa o lavoro (nel caso della prima scelta);
• giorno di ritiro: feriali o weekend.

Successivamente, verrà notificata all’utente la necessità di pagare un importo esiguo e un nuovo pulsante che avvierà (Figura 3 – ultima illustrazione a destra) la raccolta dei relativi dati anagrafici per perfezionare la consegna.

La vittima verrà, quindi, reindirizzata verso landing page opportunamente predisposte – che ripropongono i layout tipici riferibili a siti di e-commerce – per la raccolta dei dettagli anagrafici (Figura 4) e degli estremi della carta di credito (Figura 5).

Come trattato nell’ambito della AL01/241213/CSIRT-ITA, qualora inseriti i dati richiesti, una pagina di caricamento simulerà il tentativo di pagamento non andato a buon fine tramite un messaggio che indica le possibili motivazioni che hanno portato ad una non corretta transazione (Figura 6). In tale pagina risulta presente anche una chat di supporto gestita tramite bot: interagendo con esso, l’automatismo chiederà di descrivere il problema e esorterà l’utilizzo di ulteriori carte di pagamento reindirizzando la vittima verso portali di pagamento alternativi.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) [1] forniti in allegato.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Indicatori di compromissione

Gli indicatori di compromissione (IoC_AL01_0103) sono forniti in allegato.