Phishing Amazon su Signal, torna la truffa che regala un iPhone e ruba dati bancari - Cyber Security 360

L'ANALISI TECNICA

Phishing Amazon su Signal, torna la truffa che regala un iPhone e ruba dati bancari

Una nuova campagna di phishing Amazon sta prendendo di mira ancora una volta gli utenti di Signal: un messaggio di chat anticipa la vincita di un iPhone 12 Pro, ma si tratta ovviamente di una truffa per rubare dati personali e bancari. Ecco i dettagli e i consigli per difendersi

22 Mar 2021
Paolo Tarsitano

Editor Cybersecurity360.it

È di nuovo attiva in questi giorni la campagna di phishing indirizzata agli utenti Signal che sfrutta il marchio Amazon per indurli ad aprire un messaggio di chat che li informa di essere tra i fortunati vincitori di un iPhone 12 Pro.

Come nella precedente campagna rilevata nello scorso mese di febbraio, anche in questo caso il messaggio di phishing risulta essere inviato da numeri vietnamiti (con prefisso internazionale +84).

Il link indicato nel testo, ovviamente, non serve per richiedere il premio così come indicato nel messaggio: cliccandoci sopra, l’utente viene reindirizzato verso un sito malevolo al fine di sottrargli i propri dati bancari.

Dopo la truffa via SMS Amazon, dunque, i criminal hacker sfruttano ora la recente popolarità di Signal, l’alternativa a WhatsApp più sicura che c’è, per attirare le loro vittime nella trappola.

Come funziona la truffa del phishing Amazon su Signal

Anche questa nuova campagna di phishing Amazon su Signal conferma che la truffa del finto messaggio usato come esca è ben architettata: nel messaggio, infatti, compare in bella mostra il logo di Amazon e il testo della chat è scritto in un italiano quasi perfetto.

Bastano questi due dettagli a far sì che la vittima non si accorga della provenienza del messaggio da un numero straniero (vietnamita, per l’esattezza, in quanto il prefisso internazionale inizia con +84).

Anche il link a cui collegarsi per ricevere l’iPhone 12 Pro in regalo dovrebbe far scattare un altro campanello di allarme nella vittima: il dominio brandschix[.]space, infatti, oltre ad essere evidentemente sospetto, non appartiene ad Amazon.

Collegandosi al link indicato, la vittima viene reindirizzata al sito meviewport[.]com su cui è caricata una pagina Web identica in tutto e per tutto a quelle per gli acquisti online su Amazon.

Per rendere più efficace la trappola, la pagina è strutturata per fornire informazioni utili alla presunta vincita dell’iPhone 12 Pro insieme a finte recensioni di altri utenti ovviamente inesistenti che servono a dare credibilità al sito.

La tecnica del finto form da compilare per rubare dati personali

Come sempre accade nelle campagne di phishing, inoltre, la vittima viene invitata a partecipare ad un breve sondaggio compilando un apposito form: si tratta di un escamotage usato dai criminal hacker per indurre l’ignara vittima a comunicare altri dati personali come l’età, l’indirizzo e il numero di componenti del nucleo familiare. Tutti dati che possono essere utilizzati in seguito per altre campagne malevoli e di phishing mirate.

Completata anche questa fase del finto processo di registrazione necessario per ricevere l’iPhone 12 Pro in regalo, una finestra popup conferma la vincita del dispositivo.

È richiesto anche il pagamento delle spese di spedizione

Presa dall’euforia, però, la vittima non si accorge che il premio è diventato d’un tratto un iPhone 11 Pro e istintivamente accetta anche le tre “regole” per la partecipazione al gioco-truffa, tra cui anche il pagamento delle spese di spedizione che possono variare tra 1 e 3 euro.

Tappando sul pulsante OK, la vittima viene quindi reindirizzata su altri due domini malevoli (htwo.betomb[.]com e chancetowinaprize[.]com) che ospitano le pagine Web create dai criminal hacker per sottrarre i suoi dati bancari.

Come difendersi dal phishing Amazon su Signal

È bene sottolineare che tutte le app di messaggistica istantanea, indipendentemente dai protocolli di sicurezza utilizzati per crittografare i messaggi di chat, sono potenzialmente esposte ad attacchi di tipo phishing: recentemente, un’altra truffa mirata al furto di dati bancari ha colpito gli utenti WhatsApp.

Secondo Pierluigi Paganini, Cyber Security Analyst: “la campagna in oggetto non ha elementi distintivi in termini di complessità, ma evidenzia come il crimine informatico cerchi di massimizzare i propri sforzi utilizzando nuovi vettori per le proprie campagne ed abusando di brand noti per ingannare le vittime”.

“Signal, come altre piattaforme di instant messaging”, continua l’analista, “è un vettore ideale per raggiungere gli ignari utenti che potrebbero vedersi compromettere il proprio dispositivo semplicemente cliccando su un link e dando luogo ad un processo di infezione. Nel caso specifico si indirizzano le vittime verso pagine create ad hoc per indurre le vittime a fornire i propri dati bancari”.

“La scelta di Signal”, è l’ipotesi di Paganini, “potrebbe essere anche motivata dall’aumentata popolarità dell’applicazione nelle ultime settimane. Milioni di utenti hanno scelto l’app in luogo di WhatsApp per ragioni di privacy e il crimine informatico si è mostrato pronto a sfruttare questa occasione”.

“Per questo motivo è importante diffondere conoscenza su questi attacchi ed aiutare gli utenti ad individuare campagne fraudolente come questa. Come di consueto è buona regola non aprire mai allegati o cliccare link che ci arrivano attraverso messaggi non sollecitati attraverso vari mezzi (e-mail, social network, app di instant messaging ecc.)”.

Come bloccare gli utenti sospetti su Signal

Nel caso particolare del phishing Amazon su Signal, è possibile anche bloccare numeri di telefono e utenti sospetti. Per farlo, è sufficiente seguire la seguente procedura:

  1. Avviare Signal sul proprio telefono.
  2. Aprire una chat con il contatto o il numero di telefono da bloccare.
  3. Toccare l’intestazione della chat con il nome del gruppo o il nome/numero del contatto.
  4. Scegliere Blocca, Blocca questo utente, Blocca questo gruppo.
  5. Confermare selezionando Blocca.
  6. Scegli OK.

Tornando nella chat, in basso verranno mostrati i pulsanti per cancellare (Delete) o sbloccare (Unlock) il contatto.

Articolo pubblicato il 12 febbraio 2021 e aggiornato con le evidenze della nuova campagna di phishing Amazon su Signal

@RIPRODUZIONE RISERVATA

Articolo 1 di 5