L'SMS Amazon truffa che promette un regalo (Prime, iPhone) e ruba soldi - Cyber Security 360

l'allarme

L’SMS Amazon truffa che promette un regalo (Prime, iPhone) e ruba soldi

Circola di nuovo, ma in forma diversa, un tentativo di phishing via SMS che si dichiara proveniente da “Amazon.it”: è ovviamente una truffa per rubare dati personali e soldi, tramite una pagina collegata al link presente nel messaggio

10 Set 2020

Torna la truffa via SMS targata Amazon, un tentativo di phishing avvistato per la prima volta nel 2018 e di nuovo oggetto di una campagna massiva in queste settimane. Adesso anche al ritorno dalle vacanze, a settembre, con un messaggio che propone un (finto) regalo di un abbonamento Amazon Prime gratuito.

L’SMS truffa “Amazon.it”: regalo o pacco in attesa

L’ultima versione, diversa dalle precedenti, si presenta così: “Ciao [nome utente], abbiamo cercato di contattarti per il tuo regalo. Per richiederlo segui questo link [segue link truffa]”.

L’esempio qui sopra riguarda l’avvocato Antonino Polimeni, che commenta: “conoscono il nostro nome e il nostro numero di telefono. Tra i vari data breach che abbiamo subito e tra i vari consensi che abbiamo inutilmente dato, qualche truffatore si è appropriato dei nostri dati”.

La forza della truffa è quindi che arriva via SMS – canale che tendiamo a considerare ancora più sicuro e personale delle e-mail – e che conosce il nostro nome associato al nostro numero di cellulare (non è un invio a pioggia a numerazioni random).

In altre versioni l’SMS specifica che il regalo è uno smartphone iPhone o altro e che è il frutto di un sorteggio. In alcune versioni diceva di cliccare il link per sbloccare un “pacco in attesa”.

Regalo abbonamento Amazon Prime via sms

In particolare a settembre la truffa sembra specializzarsi della proposta di un regalo di un abbonamento Amazon Prime. Per il resto, stesse caratteristiche.

Il finto regalo del finto SMS Amazon

Il link apre una pagina che ci annuncia di aver vinto un iPhone a un sorteggio; ci chiede dati personali per farcelo arrivare a casa, numero di carta di credito per pagare la sola spedizione (1-3 euro).

In alcune versioni, la truffa chiede i nostri dati di accesso Amazon.

Tutte cose che ovviamente finiscono nelle mani dei criminali e che sono utilizzabili per i classici furti di identità o bancari.

Come fanno ad avere il nostro nome associato al cellulare

“Sì, i criminali hanno i nostri dati grazie a un data breach, come quello famoso subito da LinkedIn nel 2012. Ma non c’è servizio internet che non abbia subito una violazione; e può essere anche un hotel, come nel caso Marriott, o una compagnia aerea, come in quello recente di EasyJet“, spiega Alessio Pennasilico, di P4I e responsabile scientifico di Cybersecurity360.it.

“I dati, una volta sottratti da un sito o un servizio Web, finiscono sul mercato nero e possono essere comprati e usati da altri cyber criminali per realizzare campagne malevoli mirate”, continua.

Con il nostro nome e numero.

Smart working a prova di cyber attack

Come difendersi

“Anche in questo caso si denota una spiccata capacità dei cyber criminali nell’identificare le vulnerabilità a livello di fattore umano, così da massimizzare l’efficacia della campagna malevola e di conseguenza i ricavi”, commenta Alessio Pennasilico, di P4i e responsabile scientifico di Cybersecurity360.it.

“Non solo utilizzano dati personali corretti (es. il nome) ma scelgono come vettore l’SMS. L’attenzione che la possibile vittima avrebbe prestato allo stesso messaggio via mail sarebbe stata enormemente maggiore; attribuendo invece, erroneamente, maggiore affidabilità ad altri canali (telefono, SMS, chat e programmi di messaggistica istantanea) la soglia di attenzione è drasticamente più bassa e la trasformazione di possibili vittime in vittime molto più efficace”.

“Non si trascuri, inoltre, che un link aperto da un SMS viene quasi certamente visualizzato da uno smartphone, abbassando di molto, quindi, la possibilità per la vittima di rendersi conto di eventuali anomalie presenti sul sito web, proprio a causa delle semplificazioni introdotte nella visualizzazione da parte di browser mobile”, aggiunge.

Come fare? “Le nostre organizzazioni, ma ogni utilizzatore in generale, dovrebbe sviluppare una sensibilità non solo verso i tentativi di truffa per riconoscerli (io rabbrividisco ogni volta che leggo “regalo”) ma soprattutto verso il rischio intrinseco di tutti i vettori che i criminali utilizzano per contattarci. Dobbiamo smettere di fidarci ciecamente di ogni canale o mittente, anche se noto, e sviluppare un senso critico orizzontale rispetto agli strumenti che utilizziamo”.

Articolo aggiornato rispetto alla prima versione di giugno 2020 alla luce di una nuova ondata di truffe a settembre

@RIPRODUZIONE RISERVATA

Articolo 1 di 3