Torniamo a parlare di una nuovissima campagna di mail malevole inoltrate in tutto il nostro paese, che come al solito mira al furto di informazioni importanti delle persone che potrebbero potenzialmente finirne vittime puntando anche sul senso d’urgenza delle finte comunicazioni. In questo caso ad essere sfruttata è stata l’immagine del Governo e della Presidenza del Consiglio, con una strategia classica di phishing via email.
Scendendo più nel dettaglio, CERT-AgID ha notificato nei giorni scorsi molte segnalazioni in merito ad una offensiva via email che tramite i nomi delle istituzioni chiedeva la verifica dei dati bancari nell’oggetto facendosi appunto passare per il governo del nostro paese. Nel messaggio si vede chiaramente che lo scopo dichiarato è solo una formalità amministrativa senza quindi alcun esborso economico, dando poi un link che dovrebbe riportare alle pagine sulle quali aggiornare i suddetti dati e sottolineando l’importanza di queste operazioni. Nella pagina in cui si atterra se si fa inavvertitamente clic sul link, che peraltro è anche ben costruita, vengono riprodotti tutti gli stilemi grafici istituzionali della Presidenza del Consiglio, inoltre viene visualizzato un menu a tendina nel quale selezionare la propria banca di riferimento tra le opzioni disponibili. Tra le opzioni vediamo chiaramente i gruppi più importanti presenti nel nostro paese, come Intesa, MPS e molte altre.
L’occhio più attento nota subito che, nonostante la pagina sia stata costruita molto bene, l’URL di atterraggio, visibile anche facendo solo mouse hover sulla email e quindi senza aprire alcunché, non è minimamente ascrivibile a nulla di istituzionale, essendo anche basato su dominio .ICU. Sulla destra, nella pagina, c’è anche un menu che dovrebbe essere di collegamento a pagine informative sul governo stesso, un modo per arricchire la pagina e renderla quantomeno un po’ più credibile, così come la presenza del menu in alto a sinistra e di quello orizzontale in alto. Tornando alla truffa, se viene selezionata la banca il sistema ci reindirizza su un’interfaccia fasulla che mostra una falsa pagina di login della banca precedentemente scelta, ovviamente per farci fare un login e rubare le credenziali. Questa strategia l’abbiamo vista nel nostro paese anche in altre recenti offensive, e non è da escludere che siano stati gli stessi attaccanti a creare questa campagna phishing, visto l’impegno profuso nel creare finte maschere di login per tutte le banche presenti nella pagina di atterraggio.
Il CERT-AgID ha ovviamente preso in carico il problema ed ha indicato a chi di dovere la chiusura immediata del dominio, oltretutto ha anche informato tutti gli istituti di credito interessati di ciò che veniva fatto a loro nome, di modo da poter prendere dei provvedimenti comunicativi da passare ai loro correntisti. Queste offensive stanno cominciando ad intensificarsi nelle ultime settimane, come sappiamo bene, ma ciò che preoccupa ancora di più è la sempre maggiore cura dei dettagli che viene messa nel crearle, con pagine d’atterraggio sempre più simili alle originali ed altri elementi che possono indurre in errore. Ovviamente, allo stato attuale, sono ancora gli utenti meno esperti quelli maggiormente in pericolo, perché come abbiamo notato anche stavolta non mancano elementi di chiara ambiguità che farebbero cestinare subito le email ai più navigati. Per ovviare a tutto questo è importantissima l’opera di divulgazione che viene fatta dai siti web specializzati, siano essi istituzionali o meno, che possono essere usati per diffondere ancora di più i dettagli di queste trappole.
Fonte: 1
