Articoli

L’sms Amazon truffa che promette un regalo e ruba soldi

Torna la truffa via sms targata Amazon, un tentativo di phishing avvistato per la prima volta nel 2018 e di nuovo oggetto di una campagna massiva in queste settimane. Adesso anche al ritorno dalle vacanze, a settembre, con un messaggio che propone un (finto) regalo di un abbonamento Amazon Prime gratuito.

L’sms truffa “Amazon.it”: regalo o pacco in attesa

L’ultima versione, diversa dalle precedenti, si presenta così: “Ciao [nome utente], abbiamo cercato di contattarti per il tuo regalo. Per richiederlo segui questo link [segue link truffa]”.
La forza della truffa è che arriva via sms – canale che tendiamo a considerare ancora più sicuro e personale delle e-mail – e che conosce il nostro nome associato al nostro numero di cellulare (non è un invio a pioggia a numerazioni random).

In altre versioni l’sms specifica che il regalo è uno smartphone iPhone o altro e che è il frutto di un sorteggio. In alcune versioni diceva di cliccare il link per sbloccare un “pacco in attesa”.
In particolare a settembre la truffa sembra specializzarsi della proposta di un regalo di un abbonamento Amazon Prime. Per il resto, stesse caratteristiche.

Il finto regalo del finto sms Amazon

Il link apre una pagina che ci annuncia di aver vinto un iPhone a un sorteggio; ci chiede dati personali per farcelo arrivare a casa, numero di carta di credito per pagare la sola spedizione (1-3 euro).
In alcune versioni, la truffa chiede i nostri dati di accesso Amazon. Tutte cose che ovviamente finiscono nelle mani dei criminali e che sono utilizzabili per i classici furti di identità o bancari.

“I criminali hanno i nostri dati grazie a un data breach, come quello famoso subito da LinkedIn nel 2012. Ma non c’è servizio internet che non abbia subito una violazione; e può essere anche un hotel, come nel caso Marriott, o una compagnia aerea, come in quello recente di EasyJet“, spiega Alessio Pennasilico, di P4I e responsabile scientifico di Cybersecurity360.it.

“I dati, una volta sottratti da un sito o un servizio Web, finiscono sul mercato nero e possono essere comprati e usati da altri cyber criminali per realizzare campagne malevoli mirate”, continua. Con il nostro nome e numero.

Come difendersi?

“Anche in questo caso si denota una spiccata capacità dei cyber criminali nell’identificare le vulnerabilità a livello di fattore umano, così da massimizzare l’efficacia della campagna malevola e di conseguenza i ricavi”, commenta Alessio Pennasilico, di P4i e responsabile scientifico di Cybersecurity360.it.

“Non solo utilizzano dati personali corretti (es. il nome) ma scelgono come vettore l’sms. L’attenzione che la possibile vittima avrebbe prestato allo stesso messaggio via mail sarebbe stata enormemente maggiore; attribuendo invece, erroneamente, maggiore affidabilità ad altri canali (telefono, sms, chat e programmi di messaggistica istantanea) la soglia di attenzione è drasticamente più bassa e la trasformazione di possibili vittime in vittime molto più efficace”.

“Non si trascuri, inoltre, che un link aperto da un sms viene quasi certamente visualizzato da uno smartphone, abbassando di molto, quindi, la possibilità per la vittima di rendersi conto di eventuali anomalie presenti sul sito web, proprio a causa delle semplificazioni introdotte nella visualizzazione da parte di browser mobile”, aggiunge.

Come fare? “Le nostre organizzazioni, ma ogni utilizzatore in generale, dovrebbe sviluppare una sensibilità non solo verso i tentativi di truffa per riconoscerli (io rabbrividisco ogni volta che leggo “regalo”) ma soprattutto verso il rischio intrinseco di tutti i vettori che i criminali utilizzano per contattarci. Dobbiamo smettere di fidarci ciecamente di ogni canale o mittente, anche se noto, e sviluppare un senso critico orizzontale rispetto agli strumenti che utilizziamo”.

 

Fonte: CyberSecurity360

Inps, il malware via sms che sfrutta il bonus 600 euro

Arrivano a pioggia sms che si spacciano provenire da Inps e chiedono di cliccare su un link per modificare la propria domanda di bonus 600 euro.

È stata la stessa Inps a lanciare l’allarme, invitando a non cliccare sul link e specificando che qualsiasi sms proveniente dall’istituto non ne conterrà link.

“Puntuali come sempre, i criminali scelgono il momento opportuno per lanciare gli attacchi di social engineering invitando gli utenti a scaricare una App per aggiornare la propria domanda Covid-19 proprio nei giorni in cui stanno arrivando le notifiche di conferma di ricezione delle domande per il bonus da 600 euro”, commenta l’esperto di sicurezza informatica Paolo dal Checco.

“Accedendo al il dominio “inps-informa.online” contenuto nell’SMS – registrato il 4 aprile ma oggi non più attivo – compariva una pagina simile a quella dell’INPS dove l’utente veniva invitato a scaricare un’App per Android “covid-19.apk” segnalata come malevola da numerosi antimalware”, spiega. “Dalle analisi preliminari sembra trattarsi di Cerberus, un malware bancario per Android che sottrae alle vittime le password di accesso e i codici di autenticazione inseriti nelle App o nei siti di web banking”.

“Continua lo sciacallaggio da parte dei criminali, anche di quelli informatici, nello sfruttare l’attenzione mediatica di cui gode l’attuale emergenza sanitaria”, aggiunge Alessio Pennalisico (P4i, Clusit).

“Dopo aver visto campagne di phishing che hanno provato a sfruttare presunte notizie, aggiornamenti o mappe sull’infezione, ora provano a sfruttare la sensibilità al tema interventi economici straordinari a supporto dei professionisti. Diventa in questo immediatamente evidente quanto possa essere efficace una campagna simile, di quanti cliccheranno quel link ed installeranno quell’app”.

I consigli contro la nuova truffa basata su Inps (e altre simili)

“Vale in ogni caso il consiglio di non installare mai programmi scaricati fuori dallo store ufficiale e, anche per le App lì presenti, valutare comunque i commenti e la data di pubblicazione, perché non di rado i delinquenti riescono a caricare delle versioni infette che vengono prontamente rimosse ma possono rimanere disponibili per qualche ora o persino qualche giorno”, dice Dal Checco.

Aggiungiamo ai consigli dell’esperto la raccomandazione base da seguire per evitare di finire vittime del malspam: ignorare mail, sms o altre comunicazioni che ci chiedono di compiere una qualsiasi azione (download allegato, clic su link…).

Dato che istituti e altre fonti legittime sanno che questa è la modalità seguita dai truffatori, non ci chiederanno mai di compiere azioni nelle mail o sms che ci possono mandare; né metteranno allegati. I messaggi conterranno al massimo informazioni statiche nel corpo del testo.

 

Fonte: Cybersecurity360

Difenditi dallo smishing, la truffa informatica via sms

Poste Italiane ha avvertito tutti i suoi clienti di stare attenti a possibili truffe informatiche derivanti da SMS: stiamo parlando dello smishing.

Lo smishing è una frode in cui i criminali informatici inviano sms spacciandosi per mittenti noti alla vittima. Gli SMS contengono dei link che reindirizzano l’utente su siti contraffatti simili a quelli ufficiali o abitualmente frequentati. Purtroppo tali messaggi sono molto credibili ed è facile essere tratti in inganno: di recente, ad esempio, sono stati inviati SMS a nome di PosteInfo e contenenti link che rimandano a siti clone di Poste Italiane. Da qui i criminali informatici cercano di carpire i dati personali ed operare a danno dei clienti.

Bisogna fare attenzione perché il messaggio fraudolento si visualizza nella stessa lista dei messaggi effettivamente inviati da Poste Italiane, che sono invece corretti e sicuri. Si raccomanda di non utilizzare link presenti in comunicazioni sospette poiché Poste Italiane e le società del Gruppo Poste non chiedono mai ai clienti di fornire i propri dati e codici personali via SMS o mail. Ricorda inoltre che il numero di cellulare è un’informazione personale da tenere sempre protetta.

 

Fonte: Poste Italiane