Descrizione e potenziali impatti

È stata individuata una campagna di phishing mirata agli utenti dell’istituto bancario tedesco N26, diffusa probabilmente attraverso tecniche di smishing/email e strutturata per sottrarre alla vittima:

• credenziali di accesso (email e password );
• informazioni personali (numero di telefono e codice fiscale);
• codice OTP e token di 10 cifre della carta, specifico di N26 e utilizzato dalla compagnia per la verifica dell’identità del titolare del conto.

La landing page riproduce fedelmente il layout del portale legittimo di N26:

1149372582586756406 Figura 1 – Aspetto della landing page

Dopo aver inserito le credenziali nella pagina PHP, viene richiesto l’inserimento del codice OTP, presumibilmente inviato al numero di telefono della vittima.

316233898548670311 Figura 2 – Form per l’inserimento dell’OTP SMS

Successivamente viene richiesto un ulteriore specifico token di 10 cifre, relativo alla carta di credito, usato dall’istituto durante le procedure di verifica dell’identità del richiedente per effettuare operazioni online.

888567060842265408 Figura 3 – Form per l’inserimento del token della carta

Con il pretesto di una finta verifica dei dati, vengono quindi richieste anche informazioni personali del titolare del conto (numero di telefono, codice fiscale e indirizzo email), oltre al nuovo inserimento dell’OTP:

4360893008947331420 Figura 4 – Form per la collezione dei dati personali della vittima

Una volta inviate tali informazioni, viene comunicato che il codice inserito è errato e ne viene chiesto, per altre tre volte, il re-inserimento (Figura 5), dopodichè viene mostrata una pagina di errore da parte del server (Figura 6).

-2782400848289429452 Figura 5 – Messaggio di errore a seguito dell’inserimento dell’OTP

-9074916082966016786 Figura 6 – Messaggio d’errore dal server dell’attaccante

Azioni consigliate

Si consiglia di prestare attenzione all’inserimento delle proprie credenziali e informazioni, all’interno di portali a cui si accede seguendo link ricevuti sui propri dispositivi, aziendali o personali, tramite posta elettronica o altri mezzi convenzionali. In particolare, si consiglia di diffidare da comunicazioni che sollecitano l’accesso a portali, in particolar modo quelli relativi a servizi finanziari o di uso comune, aziendali e non.

Infine si consiglia di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.