Sintesi

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema “ING” – come già trattato da questo CSIRT nell’ambito del AL01/250707/CSIRT-ITA – volta a carpire le informazioni personali delle potenziali vittime, compresi i codici di accesso alla piattaforma dell’istituto bancario.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato il riacutizzarsi di una campagna di phishing a tema “ING” – come già trattato da questo CSIRT nell’ambito del AL01/250707/CSIRT-ITA – volta a carpire le informazioni personali delle potenziali vittime, compresi i codici di accesso alla piattaforma dell’istituto bancario.

La campagna, veicolata tramite mail (Figura 1), informa la potenziale vittima della necessità di verificare e confermare i dati relativi al proprio account bancario, esortandola a cliccare sull’URL presente nel corpo del testo, che funge da redirect verso la landing page malevola.

Qualora dato seguito al suddetto link, viene proposta all’utente una pagina di inserimento dati – riportante loghi e riferimenti all’istituto bancario ING – ospitata su un dominio verosimilmente compromesso, al fine di compiere attività malevole, e volta a raccogliere il codice cliente e la data di nascita per l’accesso al proprio account bancario (Figura 2).

Successivamente, viene richiesto alla vittima di inserire il codice PIN per l’accesso al conto bancario (Figura 3).

Infine, la vittima viene invitata a fornire il codice OTP pervenuto tramite SMS (Figura 4).

Qualora venga inserito il codice richiesto, la pagina fornisce un messaggio di errore, invitando la vittima a inserire nuovamente il codice (Figura 5).

Infine, qualora si fornisca nuovamente l’OTP, la pagina restituisce un messaggio che conferma la buona riuscita della procedura (Figura 6).

Dopo qualche secondo, l’utente viene reindirizzato ad una pagina del dominio ufficiale di ING.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) [1] forniti in allegato.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.