Non si fermano le offensive verso il nostro paese, puntualmente segnalate e raccontate dal CERT di AgID nel suo portale per mettere in guardia gli utenti italiani dalle minacce principali ed il modo utilizzato dagli hacker per andare a segno. Purtroppo, come sappiamo, sull’argomento le notizie non mancano mai, anche volendo restringere il campo a quelle riguardanti l’Italia, ma in questo approfondimento vedremo quelle che CERT-AgID considera le più importanti.
Partiamo da un aggiornamento del 17 dicembre scorso, che segnala nuovamente un’offensiva che mira a diffondere un malware che abbiamo già visto su questo blog: Vidar. Come già raccontato (qui il link), questo malware mira a trafugare i dati delle vittime che cascano in trappola dopo aver ricevuto messaggi inviati da caselle PEC violate in precedenza e sfruttate per perpetrare le campagne phishing. Nell’ultimo aggiornamento avevamo anche raccontato di come, col tempo, gli attacchi si fossero via via perfezionati e di come gli hacker avessero strategicamente deciso di inviare le mail malevole di domenica per far sì che i messaggi di posta certificata venissero confusi con quelli legittimi e far cascare più facilmente in trappola le potenziali vittime. Sembra invece che adesso, dalle segnalazioni fatte a CERT-AgID, le offensive inizino al martedì mattina, forse proprio per via della scoperta fatta dagli esperti di sicurezza in precedenza.
Le PEC che provano a diffondere Vidar non sono invece cambiate, poiché contengono sempre messaggi che in oggetto presentano avvisi di pagamento urgenti e link che dovrebbero portare ad una fantomatica Fattura da scaricare. I domini e sottodomini collegati a questa minaccia sono stati 133 ma CERT-AgID ci tiene anche a specificare che sebbene le offensive siano iniziate alle 00.30 di martedì 17 dicembre scorso ci son voluti solo 5 minuti per avere l’intervento da parte loro in collaborazione coi gestori delle caselle PEC. Le motivazioni dietro a questo cambio di giorno, come anticipato, permangono ancora sconosciute, ma le ipotesi degli esperti vanno dal semplice ritardo nell’invio dei messaggi ad un cambio vero e proprio di strategia, una pratica abbastanza comune tra chi diffonde i malware, anche per capire quale sia la percentuale di successo spostando l’invio da un’ora all’altra o da un giorno ad un altro.
La seconda offensiva riscontrata in Italia da CERT-AgID è stata segnalata il giorno seguente, il 18 dicembre, e coinvolge i sistemi mobile, trattandosi di una campagna di smishing, ovvero il phishing via SMS. Abbiamo visto in alcuni approfondimenti come, specialmente sotto le feste di Natale, gli utenti ricevano continuamente avvisi su giacenze, spedizioni e ritardi di merce ordinata online, non sorprende quindi che questa campagna sia stata perpetrata via SMS da un utente che si finge Poste Italiane e segnala la mancata possibilità di consegna di un pacco. Il problema segnalato, presente nel testo del messaggio, è un indirizzo errato, e si invita chi riceve l’SMS a fare tap su un link per modificarlo. Se la vittima avesse fatto tap avrebbe visualizzato una pagina quasi del tutto uguale a quella di Poste Italiane con su scritto “stato della consegna” invitando a fare tap poi su un tasto Continua per finire su una pagina nella quale inserire il nuovo indirizzo. Il passo ancora successivo è invece quello in cui viene richiesto di effettuare un pagamento inserendo i dati della carta di credito, che verranno ovviamente rubati dai malintenzionati.
Quest’ultima minaccia, che chiude l’approfondimento, non è eccessivamente difficile da scoprire, basta semplicemente fare attenzione a qualche piccolo ma determinante dettaglio nella costruzione della stessa. A partire dal portale che copia quello di Poste Italiane, con un po’ di concentrazione è possibile notare come il font utilizzato non corrisponda a quello che solitamente viene visualizzato sul sito ufficiale. Questa particolarità forse la può notare l’utente un po’ più esperto, sebbene sia abbastanza evidente, ma a togliere ogni dubbio c’è un fattore inequivocabile, ovvero l’URL sul quale si appoggia il finto portale, che non è assolutamente quello delle Poste. Ultimo fattore da controllare è il numero dal quale arriva l’SMS, anche se spesso gli smartphone e gli operatori contrassegnano come spam anche messaggi legittimi. È tuttavia corretto dire che anche i numeri che vengono visualizzati possono essere contraffatti, per cui, come norma generale, è importante non dare mai importanza a questi messaggi di testo a meno che non si sia sicuri al 100% della loro veridicità.