Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing a tema “ING” volta a carpire le informazioni personali delle potenziali vittime, compresi i codici di accesso alla piattaforma dell’istituto bancario.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing a tema “ING” volta a carpire le informazioni personali delle potenziali vittime, compresi i codici di accesso alla piattaforma dell’istituto bancario.

La campagna, veicolata tramite mail, informa la potenziale vittima della necessità di aggiornare i dati relativi al proprio account bancario al fine di evitare riciclaggio di denaro, esortando la vittima a cliccare sull’URL presente nel corpo del testo, che funge da redirect verso la landing page malevola finale. (Figura 1)

Qualora dato seguito al suddetto link, viene proposta all’utente una pagina di inserimento dati (Figura 2) – riportante loghi e riferimenti all’istituto bancario ING – volta a raccogliere il codice cliente e la data di nascita per l’accesso al proprio account bancario.

Successivamente, viene richiesto alla vittima di inserire il codice PIN per l’accesso al conto bancario (Figura 3):

Infine, la vittima viene invitata a fornire il codice OTP, generato dall’app bancaria o pervenuto tramite SMS (Figura 4).

Si osserva che tale schermata viene ripresentata più volte, senza alcun messaggio di errore: tale comportamento potrebbe far presumere l’esecuzione di transazioni automatizzate di natura fraudolenta.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) ¹ forniti in allegato.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.