Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Smishing: nuova campagna a tema Hype (AL02/250207/CSIRT-ITA)

Data:
7 Febbraio 2025 12:03

Sintesi

Questo CSIRT ha recentemente rilevato un riacutizzarsi di una campagna di phishing a tema Hype, perpetrata via SMS (smishing), volta a carpire le credenziali d’accesso ai servizi bancari delle potenziali vittime.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato un riacutizzarsi di una campagna di phishing a tema Hype – come precedentemente trattata nell’ambito degli alert riportati nella sezione “Correlati” – perpetrata via SMS, volta a carpire le credenziali d’accesso ai servizi bancari delle potenziali vittime.

 

L’SMS in Figura 1, informa la potenziale vittima della necessità di aggiornare i dati relativi al proprio account bancario al fine di evitare frodi, esortando la vittima a cliccare sull’URL presente nel corpo del testo, che funge da redirect verso la landing page malevola finale.

Figura 1 - SMS ricevuto dalla vittima
Figura 1 – SMS ricevuto dalla vittima

 

Qualora dato seguito ai suddetti link, viene proposta all’utente una pagina di inserimento dati (Figura 2) – riportante loghi e riferimenti all’istituto bancario Hype – volta a raccogliere le credenziali utilizzate per l’accesso al proprio account bancario.

Figura 2 - pagina di phishing
Figura 2 – pagina di phishing

 

Successivamente, viene richiesto alla vittima di inserire il codice OTP ricevuto via SMS sul numero di cellulare precedentemente indicato (Figura 3):

Figura 3 - pagina di richiesta chiamata
Figura 3 – pagina di richiesta chiamata

Cliccando sul pulsante “CONTINUA” si viene reindirizzati a un’ulteriore pagina (Figura 4) nella quale si avvisa di un errore nell’elaborazione della richiesta. Inoltre si informa l’utente che verrà contattato da un operatore, verosimilmente con lo scopo di iniziare una conversazione diretta con la vittima al fine di ottenere ulteriori informazioni necessarie all’accesso sul sito dell’Istituto di credito.

Figura 4 - pagina finale della finta assistenza
Figura 4 – pagina finale della finta assistenza

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
  • evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
  • evitare di dar seguito a comunicazioni di questo tipo;
  • segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

 

Infine, si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) 1 forniti in allegato.

 

 

 

1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Indicatori di compromissione

Tipologia Indicatore
url https://is.gd/contosellahypeverifica
url https://uj.kiwhcci0.sa.com
url https://uj.kiwhcci0.sa.com/errore.php
url https://uj.kiwhcci0.sa.com/otp.php
domain uj.kiwhcci0.sa.com

Change log

Versione Note Data
1.0 Pubblicato il 07-02-2025 07/02/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link