Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Rilevata nuova campagna di smishing a tema corrispondenza (AL01/240122/CSIRT-ITA)

Data:
22 Gennaio 2024 14:13

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. 
IoC_AL01_0122

Descrizione e potenziali impatti

È stato rilevato il riacutizzarsi di una campagna di smishing a tema corrispondenza che utilizza tecniche di adescamento simili a quelle descritte da questo CSIRT tramite la AL02/230713/CSIRT-ITA.

Tale campagna sfrutta nomi e loghi riferibili ai servizi erogati da Poste Italiane e risulta veicolata mediante messaggi SMS opportunamente predisposti, apparentemente provenienti da un numero con prefisso +63, riferibile allo stato delle Filippine.

preview
Figura 1 – Messaggio di smishing

Il testo dell’SMS notifica l’impossibilità di recapitare la corrispondenza a causa di informazioni di recapito incomplete ed esorta la potenziale vittima a visitare un link esterno, presente nel corpo del testo, al fine di sanare la problematica e programmare una data utile di consegna.

Qualora venga dato seguito al link, l’utente viene reindirizzato verso una landing page malevola, riportante loghi e riferimenti a Poste Italiane, nella quale è presente un riepilogo dettagliato della presunta spedizione non andata a buon fine.

preview
Figura 2 – Riepilogo mancata consegna

Nel caso in cui si proceda alla pianificazione della nuova consegna, si verrà veicolati verso una nuova pagina nella quale è presente un form volto a carpire informazioni sensibili, quali:

  • nome;
  • cognome;
  • indirizzo;
  • civico;
  • provincia;
  • comune;
  • CAP;
  • numero di cellulare;
  • e-mail.

Proseguendo, oltre alle informazioni precedentemente fornite, verrà richiesto l’inserimento dei dati della carta di credito per l’addebito di €0.98 quali commissione per la fruizione del servizio.

preview
Figura 3 – Pagina di richiesta dati carta di credito

Non potendo completare il processo di inserimento dati con informazioni reali, è verosimile pensare che l’infrastruttura dell’attaccante effettui un controllo sulla validità della carta di credito e la conseguente richiesta di codici OTP per il completamento dell’attività fraudolenta.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;
  • evitare di inserire i propri estremi bancari su portali di cui non si conosce l’affidabilità;
  • verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
  • nel caso in cui si fossero inseriti gli estremi della propria carta di credito, contattare quanto prima il proprio istituto bancario al fine di richiedere il blocco della carta utilizzata.

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC)1 forniti in allegato.

Riferimenti

https://www.csirt.gov.it/contenuti/rilevata-nuova-campagna-di-smishing-a-tema-corrispondenza-al02-230713-csirt-ita

 

1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.