giovedì 4 dicembre 2014

Poste Italiane, Kaspersky Lab: 45.000 attacchi di phishing in tre mesi


Nel corso degli ultimi mesi, all'interno del traffico e-mail, Kaspersky Lab ha individuato alcune campagne di phishing appositamente allestite dai truffatori della Rete nel tentativo di carpire login e password relativi agli account personali dei clienti del servizio postale italiano "Poste Italiane" e, al tempo stesso, di impadronirsi dei dati bancari personali degli stessi utenti, visto che la società offre alla propria clientela servizi di natura finanziaria nell'ambito del noto sistema di pagamento Postepay. Nella circostanza, i phisher hanno indirizzato i messaggi e-mail fraudolenti verso gli indirizzi di posta elettronica degli utenti italiani e per cercare di raggiungere i loro obiettivi hanno fatto ricorso ai tradizionali metodi e trucchi abitualmente messi in campo.

Tra luglio e settembre il numero dei rilevamenti ha superato i 45.000. Ad esempio, sono stati recapitati messaggi di posta mascherati sotto forma di notifiche ufficiali riguardanti l'avvenuto blocco o la disattivazione temporanea dell'account dell'utente; nell'occasione, i phisher si sono avvalsi di indirizzi e-mail fasulli. In effetti, in qualità di nome di dominio del server di posta elettronica, i criminali hanno utilizzato un dominio che riproducesse esattamente la denominazione ufficiale del servizio postale italiano; in realtà, il dominio indicato nel campo riservato al mittente non ha proprio nulla a che vedere con il nome di dominio di cui effettivamente si avvalgono le Poste Italiane. 

Nel messaggio di phishing qui esaminato si richiedeva poi al potenziale utente-vittima di inserire all'interno dell'apposito modulo HTML allegato all'e-mail, login e password relativi al proprio account personale. Nella circostanza, i malintenzionati promettevano che, una volta compilati i campi richiesti, l'account sarebbe stato automaticamente riattivato nel giro di pochi minuti, senza bisogno di alcuna ulteriore azione da parte del destinatario dell'e-mail. Nei messaggi di posta distribuiti nell'ambito di un ulteriore mailing di massa, il link che conduceva i malcapitati verso la pagina web di phishing allestita dai criminali era stato direttamente inserito nel corpo dell'e-mail e collegato ad una frase di testo.


Nell'occasione, gli autori del messaggio non hanno cercato di spaventare l'utente comunicando l'avvenuto blocco dell'account posseduto da quest'ultimo, oppure notificando l'applicazione di specifiche limitazioni relativamente all'accesso a determinati servizi online; i phisher hanno piuttosto deciso di stimolare l'attenzione e l'interesse del destinatario del messaggio camuffando il messaggio sotto forma di notifica ufficiale inerente alla ricezione di un nuovo telegramma. Inoltre, per conferire una veste di maggiore veridicità ed autenticità all'e-mail, all'interno del messaggio (non certo impeccabile dal punto di vista ortografico e grammaticale...) veniva ugualmente indicato il numero stesso del "telegramma". 

La relativa pagina web di phishing, poi, sulla quale sarebbe giunto l'utente cliccando sul link presente nel corpo del messaggio di posta elettronica, era stata abilmente mascherata sotto forma di pagina di accesso all'account personale. E' di particolare interesse rilevare, tuttavia, preposta all'accesso ai servizi online da parte dell'utente, venisse di fatto utilizzata nel sito di Poste Italiane nell'anno 2010; tale pagina web presenta, attualmente, un aspetto un pò diverso. Ad ogni caso, visto che il testo principale è rimasto sostanzialmente identico, e le modifiche apportate emergono soltanto mettendo a confronto le due pagine, i phisher hanno di sicuro pensato di poter confidare sul fatto che gli utenti avrebbero difficilmente avuto sospetti o dubbi riguardo all'autenticità della pagina web in questione. 

Per elaborare le e-mail contraffatte oggetto dell'analisi di Kaspersky Lab, i malintenzionati hanno utilizzato, oltre al testo in italiano, anche immagini ed elementi grafici; tradizionalmente, come è noto, si avvalgono di tale metodo principalmente gli spammer, nell'ambito dei mailing di massa pubblicitari da essi allestiti. Nella circostanza, il link di phishing è stato direttamente collegato all'immagine presente nel corpo del messaggio di posta elettronica. Attraverso il testo inserito nell'e-mail viene comunicata, all'utente, l'introduzione obbligatoria di un nuovo sistema di sicurezza web.


Per continuare ad usufruire dei servizi offerti da Poste Italiane, a detta degli autori dell'e-mail, l'utente dovrà necessariamente provvedere ad attivare il "sistema web Рօstapаy", abilitando la propria carta di pagamento (РօsteРаy) nell'ambito del nuovo sistema introdotto; l'operazione di verifica potrà essere agevolmente avviata cliccando sull'apposito link inserito nel messaggio. Nell'occasione, poiché il link fasullo, come abbiamo visto, risultava collegato all'immagine presente nell'e-mail, esso si sarebbe aperto nel caso in cui l'utente avesse cliccato su di un qualsiasi punto dell'immagine stessa. 

Nella relativa pagina web di phishing, poi, si richiedeva l'inserimento di tutte le informazioni sensibili riguardanti la carta di pagamento; ciò avrebbe ovviamente permesso, ai malintenzionati di turno, di ottenere l'accesso immediato ai dati finanziari dell'utente-vittima. Attualmente, la "geografia" dei messaggi di posta elettronica fraudolenti risulta in continua espansione; nel traffico di spam globale, ad esempio, aumenta sempre di più il volume delle e-mail di phishing elaborate in varie lingue: di fatto, in numerosi paesi, i malintenzionati conducono già attacchi mirati preposti al furto dei dati personali degli utenti. 

Gli esperti di Kaspersky Lab raccomandano pertanto, nuovamente, di non cliccare in alcun modo sui link sospetti presenti nei messaggi di posta ricevuti. E' inoltre opportuno tenere ben presente il fatto che i truffatori della Rete possono distribuire nelle caselle di posta elettronica degli utenti non solo e-mail inviate a nome di società di primaria importanza, ma anche messaggi di posta apparentemente provenienti da società ed organizzazioni non particolarmente note. Proprio in questi giorni un virus di tipo ransomware sta cogliendo di sorpresa molti utenti che ignari aprono i file contenuti in false e-mail di Poste Italiane e SDA. Guest post: Tatyana Shcherbakova, senior spam analyst di Kaspersky Lab. Per ulteriori informazioni: http://blog.kaspersky.it/


Nessun commento:

Posta un commento