L'SMS Amazon truffa che promette un regalo (iPhone, Prime) e ruba soldi - Cyber Security 360

l'allarme

L’SMS Amazon truffa che promette un regalo (iPhone, Prime) e ruba soldi

Circola di nuovo, ma in forma diversa, un tentativo di phishing via SMS che si dichiara proveniente da “Amazon.it”: è ovviamente una truffa per rubare dati personali e soldi, tramite una pagina collegata al link presente nel messaggio

29 Dic 2020

Torna la truffa via SMS Amazon, un tentativo di phishing avvistato per la prima volta nel 2018 e di nuovo oggetto di una campagna massiva in queste settimane.

A fine anno si presenta con la promessa di un iPhone gratuito in premio oppure con un “regalo Amazon prime”.

Al ritorno dalle vacanze, a settembre, l’sms proponeva un (finto) regalo di un abbonamento Amazon Prime gratuito. La tattica di base è la stessa: l’sms sembra provenire da Amazon e lo scopo è rubare soldi dalla carta dell’utente.

Sms “il tuo regalo Amazon Prime è stato confermato”

Il 29 dicembre il profilo Facebook della Polizia riferisce che la truffa via sms recita così: “secondo avviso: il tuo regalo di Amazon Prime è stato confermato. Puoi ritirare i tuoi regali qui”.

C’è un link che porta a una classica pagina per rubare i dati della carta di credito.

L’SMS truffa “Amazon.it”: iPhone in regalo

Una recente versione della truffa, diversa dalle precedenti, promette un iPhone in regalo. Il mittente si presenta come Amazon-it. “Hai un messaggio riguardante il tuo articolo rif:Amazon-it” dice il messaggio che invita a cliccare su un link.

LuxurySkinbox

La pagina che si apre annuncia la vincita dell’iPhone e poi la richiesta dei dati di carta di credito. In realtà così facendo si viene iscritti al servizio in abbonamento LuxurySkinbox, programma fedeltà, a 2 euro al mese.

La truffa Amazon Prime in omaggio

A settembre la truffa si presentava così: “Ciao [nome utente], abbiamo cercato di contattarti per il tuo regalo. Per richiederlo segui questo link [segue link truffa]”.

L’esempio qui sopra riguarda l’avvocato Antonino Polimeni, che commenta: “conoscono il nostro nome e il nostro numero di telefono. Tra i vari data breach che abbiamo subito e tra i vari consensi che abbiamo inutilmente dato, qualche truffatore si è appropriato dei nostri dati”.

La forza della truffa è quindi che arriva via SMS – canale che tendiamo a considerare ancora più sicuro e personale delle e-mail – e che conosce il nostro nome associato al nostro numero di cellulare (non è un invio a pioggia a numerazioni random).

In altre versioni l’SMS specifica che il regalo è uno smartphone iPhone o altro e che è il frutto di un sorteggio. In alcune versioni diceva di cliccare il link per sbloccare un “pacco in attesa”.

Regalo abbonamento Amazon Prime via sms

In particolare a settembre la truffa sembra specializzarsi della proposta di un regalo di un abbonamento Amazon Prime. Per il resto, stesse caratteristiche.

Il finto regalo del finto SMS Amazon

Anche la prima versione della truffa, a giugno 2020, prometteva la vincita di un iPhone. L’sms aveva un link apre una pagina che ci annuncia di aver vinto un iPhone a un sorteggio; ci chiede dati personali per farcelo arrivare a casa, numero di carta di credito per pagare la sola spedizione (1-3 euro).

In alcune versioni, la truffa chiede i nostri dati di accesso Amazon.

Tutte cose che ovviamente finiscono nelle mani dei criminali e che sono utilizzabili per i classici furti di identità o bancari.

Come fanno ad avere il nostro nome associato al cellulare

“Sì, i criminali hanno i nostri dati grazie a un data breach, come quello famoso subito da LinkedIn nel 2012. Ma non c’è servizio internet che non abbia subito una violazione; e può essere anche un hotel, come nel caso Marriott, o una compagnia aerea, come in quello recente di EasyJet“, spiega Alessio Pennasilico, di P4I e responsabile scientifico di Cybersecurity360.it.

“I dati, una volta sottratti da un sito o un servizio Web, finiscono sul mercato nero e possono essere comprati e usati da altri cyber criminali per realizzare campagne malevoli mirate”, continua.

Con il nostro nome e numero.

Smart working a prova di cyber attack

Come difendersi

“Anche in questo caso si denota una spiccata capacità dei cyber criminali nell’identificare le vulnerabilità a livello di fattore umano, così da massimizzare l’efficacia della campagna malevola e di conseguenza i ricavi”, commenta Alessio Pennasilico, di P4i e responsabile scientifico di Cybersecurity360.it.

“Non solo utilizzano dati personali corretti (es. il nome) ma scelgono come vettore l’SMS. L’attenzione che la possibile vittima avrebbe prestato allo stesso messaggio via mail sarebbe stata enormemente maggiore; attribuendo invece, erroneamente, maggiore affidabilità ad altri canali (telefono, SMS, chat e programmi di messaggistica istantanea) la soglia di attenzione è drasticamente più bassa e la trasformazione di possibili vittime in vittime molto più efficace”.

“Non si trascuri, inoltre, che un link aperto da un SMS viene quasi certamente visualizzato da uno smartphone, abbassando di molto, quindi, la possibilità per la vittima di rendersi conto di eventuali anomalie presenti sul sito web, proprio a causa delle semplificazioni introdotte nella visualizzazione da parte di browser mobile”, aggiunge.

Come fare? “Le nostre organizzazioni, ma ogni utilizzatore in generale, dovrebbe sviluppare una sensibilità non solo verso i tentativi di truffa per riconoscerli (io rabbrividisco ogni volta che leggo “regalo”) ma soprattutto verso il rischio intrinseco di tutti i vettori che i criminali utilizzano per contattarci. Dobbiamo smettere di fidarci ciecamente di ogni canale o mittente, anche se noto, e sviluppare un senso critico orizzontale rispetto agli strumenti che utilizziamo”.

Articolo aggiornato rispetto alla prima versione di giugno 2020 alla luce di una nuova ondata di truffe a settembre

@RIPRODUZIONE RISERVATA

Articolo 1 di 3