l'allarme

L’SMS Amazon truffa che promette un regalo (iPhone) e ruba soldi

Circola di nuovo, ma in forma diversa, un tentativo di phishing via SMS che si dichiara proveniente da “Amazon.it”: è ovviamente una truffa per rubare dati personali e soldi, tramite una pagina collegata al link presente nel messaggio

05 Giu 2020

Torna la truffa via SMS targata Amazon, un tentativo di phishing avvistato per la prima volta nel 2018 e di nuovo oggetto di una campagna massiva in queste settimane.

L’SMS truffa “Amazon.it”: regalo o pacco in attesa

L’ultima versione, diversa dalle precedenti, si presenta così: “Ciao [nome utente], abbiamo cercato di contattarti per il tuo regalo. Per richiederlo segui questo link [segue link truffa]”.

L’esempio qui sopra riguarda l’avvocato Antonino Polimeni, che commenta: “conoscono il nostro nome e il nostro numero di telefono. Tra i vari data breach che abbiamo subito e tra i vari consensi che abbiamo inutilmente dato, qualche truffatore si è appropriato dei nostri dati”.

La forza della truffa è quindi che arriva via SMS – canale che tendiamo a considerare ancora più sicuro e personale delle e-mail – e che conosce il nostro nome associato al nostro numero di cellulare (non è un invio a pioggia a numerazioni random).

In altre versioni l’SMS specifica che il regalo è uno smartphone iPhone o altro e che è il frutto di un sorteggio. In alcune versioni diceva di cliccare il link per sbloccare un “pacco in attesa”.

Il finto regalo del finto SMS Amazon

Il link apre una pagina che ci annuncia di aver vinto un iPhone a un sorteggio; ci chiede dati personali per farcelo arrivare a casa, numero di carta di credito per pagare la sola spedizione (1-3 euro).

In alcune versioni, la truffa chiede i nostri dati di accesso Amazon.

Tutte cose che ovviamente finiscono nelle mani dei criminali e che sono utilizzabili per i classici furti di identità o bancari.

Come fanno ad avere il nostro nome associato al cellulare

“Sì, i criminali hanno i nostri dati grazie a un data breach, come quello famoso subito da LinkedIn nel 2012. Ma non c’è servizio internet che non abbia subito una violazione; e può essere anche un hotel, come nel caso Marriott, o una compagnia aerea, come in quello recente di EasyJet“, spiega Alessio Pennasilico, di P4I e responsabile scientifico di Cybersecurity360.it.

“I dati, una volta sottratti da un sito o un servizio Web, finiscono sul mercato nero e possono essere comprati e usati da altri cyber criminali per realizzare campagne malevoli mirate”, continua.

Con il nostro nome e numero.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5