Sintesi

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema “Facebook” volta a carpire le informazioni personali delle potenziali vittime, compresi i codici di accesso alla piattaforma del noto Social Network.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema “Facebook” volta a carpire le informazioni personali delle potenziali vittime, compresi i codici di accesso alla piattaforma del noto Social Network.

La campagna, veicolata tramite messaggio su Messenger (Figura 1), informa la potenziale vittima della possibile sospensione del proprio account a causa della presunta violazione delle norme e quindi della necessità di revisionare i dati relativi al proprio account, esortandola a cliccare sul link presente nel corpo del messaggio.

Qualora dato seguito al suddetto link, viene proposta all’utente una pagina di verifica dell’identità (Figura 2).

Effettuata la verifica, l’utente viene reindirizzato su una presunta pagina di richiesta ricorso – riportante loghi e riferimenti di Meta (Figura 3).

Successivamente, viene richiesto alla vittima di inserire i propri dati personali per l’invio del falso modulo di ricorso (Figura 4).

Dopodiché, la vittima viene invitata a fornire le credenziali per l’accesso al proprio account, comprensivo di numero di cellulare o mail e password. (Figura 5).

Qualora inserita la password, la pagina fornisce un messaggio di errore, invitando la vittima a inserirla nuovamente (Figura 6).

Successivamente, la vittima viene invitata a fornire il codice OTP tramite Google Authenticator, e-mail o SMS (Figura 7).

Anche in questo caso, la pagina fornisce un messaggio di errore, invitando la vittima a inserire nuovamente il codice OTP per un totale di tre volte (Figura 8).

Al terzo inserimento del codice OTP, un messaggio conferma la buona riuscita della procedura (Figura 9), mentre l’utente ha la possibilità di cliccare su un pulsante con il quale verrà reindirizzato ad una lecita del portale ufficiale di Facebook.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) ¹ forniti in allegato.

¹ Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.