È stata segnalata una campagna di phishing condotta tramite SMS e messaggi e-mail, con una comunicazione nei confronti di soggetti possessori di una carta PostePay prepagata che riconduce ad una landing page contraffatta utilizzando il layout grafico di Poste italiane per tentare di ottenere fraudolentemente i dati delle vittime.
Spoiler alert: l’applicazione del facile test di “contro-phishing” proposto da Infosec.news, consente alla maggior parte degli utenti di evitare questa insidiosa trappola.
Il contenuto della comunicazione allerta il destinatario circa l’esigenza di procedere ad una verifica della propria carta PostePay e include il link di un dominio non gestito da Poste italiane. La consultazione diretta del sito ufficiale, o il contatto del servizio clienti, sono le azioni prudenti che già consentono però di scoprire la truffa comprovando la non genuinità della comunicazione ed evitare di andare oltre.
La landing page contraffatta contiene un primo modulo di accesso, con richiesta delle credenziali (nome utente e password) e dunque un secondo step (“Sicurezza Web”) in cui sono raccolti i dati della carta e il numero di telefono cellulare. In questo modo i cybercriminali possono acquisire direttamente dall’utente inconsapevole tutti i dati relativi all’account e alla carta prepagata. Gli ulteriori segnali di allerta sono rilevabili in ragione di una richiesta di inserimento di dati che Poste già dovrebbe possedere (ad esempio: il numero della carta), per l’anomalia della citazione del proprio numero di telefono (al secondo step) con il formato +39 ********** (troppo generico, dal momento che è presente solo il prefisso italiano) e la contestuale richiesta di reinserirlo (!).
La vittima viene poi condotta ad un ulteriore passaggio di verifica dei dati (“Autorizzazione verifica”) in cui è richiesto l’inserimento del codice OTP, e dopo alcuni errori e richieste di inserimento del nuovo codice OTP, al terzo tentativo, appare una confortante pagina di buon esito della verifica che poi reindirizza alla pagina di assistenza del portale di Poste italiane. L’attacco è così arrivato alla fase conclusiva, dal momento che la vittima ha consegnato volontariamente ma inconsapevolmente le proprie chiavi di accesso al cybercriminale il quale ha ora abbastanza codici OTP per modificare il numero di telefono associato alla prepagata o autorizzare un’operazione di trasferimento, ad esempio.
Da quanto riscontrato dal CSIRT – Computer Security Incident Response Team – Italia, la landing page impiega un “meccanismo di verifica del nome utente finalizzato ad appurare che il suo formato corrisponda a quello di una reale utenza Poste Italiane” e “in particolare, che le cifre iniziali del numero di carta corrispondano a quelle effettivamente utilizzate per le carte PostePay”.
Ciò fa ritenere ragionevolmente che l’autore della campagna di phishing si sia potuto avvalere della disponibilità dei contenuti di qualche database violato avendo così un’arma ancora più affilata ed efficace per frodare un’ampia platea di potenziali vittime. Quanto accaduto deve far pensare a quanto una corretta cultura di protezione dei dati e di cybersecurity siano importanti soprattutto per la tutela degli utenti.
