Il disservizio che per diversi giorni ha impedito a milioni di utenti di accedere alle proprie caselle di posta elettronica di Libero e Virgilio è stato definitivamente risolto. Tuttavia, questo scenario ha consentito agli attori malevoli di mettere a punto varie frodi informatiche, comprese quelle di smishing (phishing via SMS), per rubare informazioni riservate e credenziali di accesso.

Arriva lo smishing che sfrutta il down di Libero.it

La prima segnalazione delle campagne malevole in corso arriva direttamente dal comunicato di ieri (30 gennaio) del Computer Security Incident Response Team (CSIRT) italiano, che rileva una campagna malevola via SMS (smishing) orientata proprio al furto delle credenziali di account Libero e Virgilio.

“Gentili utenti di Libero.it e Virgilio.it, a causa degli attuali problemi con i nostri server, abbiamo bisogno che tutti gli utenti riconfermino la loro casella di posta elettronica. Gli indirizzi email non confermati rimarranno inattivi. Conferma il tuo indirizzo email il prima possibile“, questo il testo che si può leggere nel messaggio SMS che le vittime stanno ricevendo.

Il tutto seguito da due link “www.libero.it.libero-conferma[.]com” e “www.virgilio.it.virgilio-conferma[.]com”, opportunamente predisposti dagli attori malevoli per rimandare gli ignari utenti a siti fake con pagine graficamente ineccepibili rispetto alle originali.

Si tratta, chiaramente, di una nuova truffa e Italiaonline non ha nulla a che vedere con operazioni di conferma della propria casella e-mail. Seguendo le “istruzioni” contenute nei messaggi malevoli non si fa altro che consegnare le proprie credenziali di accesso a criminali che, dopo aver raccolto i dati così ottenuti, potranno rivenderli illecitamente o predisporre ulteriori attacchi mirati.

“Messaggio di disattivazione”, altro phishing a tema Libero

Ma le truffe perpetrate ai danni degli utenti di Libero Mail e Virgilio Mail non si fermano qui.

Nell’ultima settimana abbiamo assistito alla diffusione online di numerosi archivi e-mail e password (vecchie e nuove), in cosiddette combolist, a dimostrazione di come utenti malintenzionati sfruttino ogni evento che possa destare preoccupazione nel pubblico per portare a segno eventuali frodi ai danni degli utenti più inconsapevoli.

In questo senso, la segnalazione di una nostra lettrice ci ha consentito di analizzare un’altra campagna malevola il cui obiettivo è proprio quello di creare e integrare corpose liste di credenziali di accesso che poi verranno distribuite in rete per consentire di mettere in atto nuovi attacchi, arriva proprio dalla segnalazione di un nostro utente.

In questo caso, il messaggio arriva sotto forma di email: si tratta, quindi, di un più tradizionale attacco di phishing.

Come possiamo vedere dal contenuto del messaggio riportato di seguito, l’esca sfrutta l’urgenza della situazione, il senso di sorpresa e il tema del disservizio (che, lo ribadiamo ancora una volta, è stato ormai risolto), per indurre l’ignara vittima a eseguire alcune operazioni relative a un presunto aggiornamento delle proprie credenziali.

Questo il testo riportato sulla email malevola:

“Traffico su questa Mailbox di Libero.it. Poiché abbiamo concluso la lunga giornata di aggiornamenti in corso, consigliamo a tutti i nostri clienti per alcuni secondi di leggere le precauzioni entro i nostri termini. CLICCA IMMEDIATAMENTE QUI e accedi di nuovo per completare automaticamente l’esercizio di verifica e proteggere questo account o lo SOSPENDEREMO definitivamente e lo CHIUDEREMO come non verificato”.

Ricordiamo che i testi e la forma con cui sono scritti possono cambiare nel corso di una stessa campagna: ad ogni modo, è sempre importante prestare sempre la massima attenzione quando si leggono email e comunicazioni non attese.

In particolar modo per queste che riportano un carattere di urgenza e che sfruttano l’onda del disservizio di Libero/Virgilio, bisogna tener presente che qualsiasi cambiamento o richiesta di aggiornamento da parte della Società verrà sempre comunicata all’interno della propria area riservata: se, dunque, si ha il dubbio di aver ricevuto qualcosa di legittimo, è bene andare a controllare manualmente sul proprio pannello di controllo dell’account, senza dar seguito ad alcun link presente all’interno della comunicazione ricevuta.

