Sintesi

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna malevola già oggetto di trattazione nell’ambito del AL02/250520/CSIRT-ITA , veicolata tramite SMS (smishing) e indirizzata agli utenti dell’operatore TIM, volta a carpire informazioni sensibili ed estremi bancari, facendo leva sulla presunta scadenza di punti Point Service utili per riscattare eventuali premi.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna malevola già oggetto di trattazione nell’ambito del AL02/250520/CSIRT-ITA , veicolata tramite SMS (smishing) e indirizzata agli utenti dell’operatore TIM, volta a carpire informazioni sensibili ed estremi bancari.

L’SMS (Figura 1) invita la potenziale vittima a cliccare sul link contenuto nel corpo del messaggio, facendo leva sulla presunta imminente scadenza dei punti TIM Point Service, che potrebbero essere utilizzati per ottenere premi.

Qualora dato seguito al link, un’apposita pagina di benvenuto richiede l’inserimento del numero di telefono o dell’email per verificare la presenza di punti in scadenza (Figura 2).

Inserito il numero di cellulare o l’email, viene mostrata una pagina (Figura 3) che informa l’utente dell’imminente scadenza dei presunti punti accumulati, esortandolo a utilizzarli prima della fine del periodo di validità.

Successivamente, viene offerta la possibilità di riscattare alcuni premi, previa decurtazione dei punti dal proprio saldo e il pagamento di una piccola commissione in denaro (Figura 4).

Proseguendo, all’utente viene richiesto di inserire i propri dati personali e, successivamente, gli estremi della carta di credito al fine di addebitare la suddetta commissione di 0.99€, necessaria per ricevere il presunto premio (Figura 5).

Una volta inseriti i dati richiesti, viene visualizzata una pagina di caricamento che inviata la vittima a controllare i dati e reinserirli (Figura 6).

Dopo aver reinserito i dati per tre volte la vittima viene indirizzata al dominio ufficiale di TIM.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) ^[1] forniti in allegato.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.