Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing volta a carpire le credenziali di accesso agli account PayPal delle potenziali vittime.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing volta a carpire le credenziali di accesso agli account PayPal delle potenziali vittime.

La campagna, veicolata tramite mail, informa le potenziali vittime di una presunta transazione anomala da verificare e invita le stesse a cliccare su un link al fine di annullarla (Figura 1).

Il link presente nella mail reindirizza l’utente verso un portale opportunamente predisposto dove si presenta un form di autenticazione, simile a quello del portale ufficiale di PayPal, nel quale viene richiesto l’inserimento delle credenziali per l’accesso al proprio account: indirizzo mail e, successivamente, password (Figura 2).

Qualora l’utente proceda inserendo le credenziali, viene richiesto in seguito il codice OTP: al primo inserimento verrà presentato un messaggio d’errore con contestuale richiesta di una nuova immissione del codice (Figure 3 e 4).

In caso vengano inseriti i dati richiesti, una nuova pagina segnalerà il buon esito dell’operazione, presentando anche un link per visionare la “sintesi del conto” (Figura 5). Il link, se cliccato, reindirizza l’utente al portale ufficiale di PayPal.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) ¹ forniti nell’apposita sezione.

¹ Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.