Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 1 Dicembre 2022 08:30
Autore: Giovanni Pollola
Le e-mail di phishing bancario sono forse il metodo preferito dai truffatori, più o meno esperti e navigati… Solitamente le “email esca” utilizzate non sono molto sofisticate a livello tecnico, ma sfruttano essenzialmente l’emotività dell’utente, il quale, in questo caso dovrebbe essere un cliente di un noto istituto di credito.
Una volta abboccato all’amo l’utente deve essere tirato dentro al sistema di phishing più o meno avanzato nel modo più silente, veloce ed impercettibile possibile.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765
per richiedere informazioni
"
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Vediamo come è stata messa in atto una recente campagna portata avanti a danno di Intesa SanPaolo e dei suoi clienti.
L’utente selezionato casualmente (random scraping) o puntualmente attraverso un database (con una certa attendibilità o probabilità all’utilizzo di servizi bancari) riceve una mail da un indirizzo il cui nominativo è stato “personalizzato”.
Questa mail potrebbe sembrare veritiera all’utente inesperto, che non bada ai dettagli fondamentali, dato il logo, la formattazione ed i colori tipici di Intesa SanPaolo.
Invece l’utente inesperto che non è cliente di Intesa SanPaolo non dovrebbe essere interessato a tale comunicazione inattesa, quindi molto probabilmente potrà identificare questa mail come un errore di Intesa SanPaolo o addirittura accorgersi del tentativo di phishing.
L’utente inesperto e cliente di Intesa SanPaolo che potrebbe trovare lecita e convincente tale comunicazione, la quale potrebbe essere sì inaspettata ma psicologicamente coinvolgente, soprattutto attraverso l’uso di frasi tipo “Conferma la tua identità per accedere ai dati”, facendola passare la comunicazione e l’azione come un obbligo “ai sensi della normativa”, “è necessario”... sottolineando ed elevando l’importanza dell’azione da compiere “senza questa verifica, non potrai” ma ridimensionando tale azione ad una prassi di rito, tipo la classica firmetta qualunque “bastano pochi minuti”.
L’utente inesperto e cliente di Intesa SanPaolo, che non si faccia subito coinvolgere emotivamente da tale testo cliccando su “sblocca i dati”, scorrendo la mail troverà dopo un’ampia pausa (spazio bianco) una sorpresa.
Quella che sembra essere il corpo di una newsletter di un’associazione animalista inglese, con tanto di nome utente ed indirizzo hotmail.
A questo punto per un qualsiasi utente non sprovveduto sorgerebbe il dubbio e si fermerebbe ad analizzare meglio cos’è realmente questa mail, questa “comunicazione”.
Noterebbe il nome sicuramente dal richiamo poco italico ed il dominio del provider mail “xtra.com.nz” che non sarebbe sicuramente in alcun modo accostabile all’istituto bancario.
Passando il mouse sul tasto “SBLOCCA DATI” noterà anche che l’URL non ha alcuna attinenza con l’istituto bancario, quindi potenzialmente si vedrà bene dall’aprire il link.
C’è da notare che chi crea questa strategia di phishing bada ad utilizzare nomi di utenti già presenti sul web, sui social oppure crea ad arte profili fake disseminando ugualmente così “credibilità”. C’è da sottolineare anche la possibilità che questi account email e profili social annessi siano stati sottratti.
In questo caso il servizio Outlook permette di vedere se c’è qualche profilo Linkedin (social di proprietà dello stesso gruppo) con quel nome o che addirittura ha un collegamento diretto.
In questo caso, è lampante come questa persona non possa aver nessun collegamento né logico né geografico con l’istituto bancario italiano.
Per l’utente inesperto a questo punto la storia si conclude qui.
Per l’utente più avanzato inizia il gioco.
Aprendo il messaggio d’origine della mail ed analizzando a grosse linee si delinea subito come mai questo messaggio possa essere scappato a vari controlli.
L’oggetto e tutto il corpo del testo sono codificati in BASE64, una scelta inusuale per una qualsiasi e-mail.
Passando all’analisi del link riportato nel corpo del testo si può verificare la strategia utilizzata.
Un primo web di “facciata”, che viene visto dai sistemi antifrode come innocuo, probabilmente comprensivo di filtro IP.
Un redirect ad un dominio totalmente nuovo, sfrutttando un D-DNS “***.simple-url.com”, con un sito web che parte soltanto se il browser ha la capacità di eseguire determinati script… ma il sito web di phishing si palesa solo se il browser ha abilitato l’esecuzione di tutti gli script necessari.
Il sito web mostrato presenta una “copia carbone” del sito ufficiale, una sofisficazione non di poco conto, dato che i sistemi di accesso all’istituto bancario prevedono anche l’autenticazione a due fattori… quindi l’accesso furtivo e le operazioni avverranno parallelamente alla finto accesso. Purtroppo la vittima potrebbe accorgersi tardivamente della sottrazione dei fondi.
Bastano pochi accorgimenti per non essere vittima di phishing, prima fra tutte diffidare sempre di qualsiasi comunicazione o richiesta da parte dell’istituto bancario riguardo la necessità di effettuare cambiamenti al proprio account e dati personali.
Non utilizzare mai i link presenti nelle mail inaspettate per raggiungere i servizi bancari, ma raggiungerli scrivendo autonomamente l’URL nella barra degli indirizzi del browser.
Ricordiamo che in questi eventi i soggetti lesi sono due, cliente ed istituto bancario.
RedazioneRecentemente, Alin Grigoras, un chimico computazionale, ha scritto alla Redazione di Red Hot Cyber. Ci informava che prendendo spunto da un articolo sul bug bounty di Anthropic, era riuscito a farsi d...
Nel corso di un’analisi di sicurezza effettuata sul prodotto ZENIC ONE R58 di ZTE Corporations, il RED Team Research di TIM ha individuato un bug critico di tipo Formula Injection, una vulnerab...
Microsoft ha recentemente rilasciato un avviso di sicurezza per CVE-2025-21396, una vulnerabilità critica di bypass dell’autenticazione che potrebbe consentire agli attaccanti di falsifica...
Norton, marchio consumer di sicurezza informatica, ha pubblicato il suo Consumer Cyber Safety Report – Online Dating Edition 2025. Il report ha intervistato gli italiani per esplorare il loro r...
Gli specialisti della sicurezza informatica non sono apprezzati per le loro conoscenze teoriche, ma per la loro capacità di applicarle nella pratica. L’esercizio in questo settore è p...
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009
