Phishing e malspam a tema bancario: i consigli per attenuare i rischi - Cyber Security 360

LA GUIDA PRATICA

Phishing e malspam a tema bancario: i consigli per attenuare i rischi

Tra le tecniche di attacco sfruttate dai cyber criminali, malware, phishing e social engineering continuano a essere causa di buona parte degli attacchi, ma anche negligenza e distrazione possono rivelarsi fatali e comportare illeciti addebiti oltre che violazioni di dati. Ecco come difendersi

29 Apr 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Emergono spesso alert su campagne di phishing e malspam ai danni di clienti di istituti bancari. Il fenomeno, continuamente monitorato e contrastato dalle forze dell’ordine, riguarda la diffusione di false informative, comunicazioni urgenti e messagistica online anche contenente allegati malevoli con lo scopo ultimo di carpire informazioni personali e soprattutto dati finanziari della malcapitata vittima.

Per evitare di cadere in trappola, occorre soprattutto porre la massima attenzione a ogni richiesta che dovesse giungere attraverso e-mail, SMS, messaggistica istantanea, chiamate e chat che contengano qualsiasi pretesa.

Canali di comunicazione e regole degli istituti bancari

A tal proposito si ricorda che gli istituti bancari quando inviano messaggi o comunicazioni usano specifici canali e delle regole concordate con gli stessi clienti.

WEBINAR, 25 MAGGIO
PEC, firma digitale e Identity Management: sai come usarli al meglio riducendo i costi?
Amministrazione/Finanza/Controllo
Dematerializzazione

Ad esempio, nelle comunicazioni e-mail sono sempre indicate il nominativo del cliente e soprattutto la ragione sociale e i riferimenti alla Filiale di appartenenza e non vengono assolutamente mai richiesti estremi, credenziali, codici dispostivi o numeri di carte di credito e non vengono assolutamente mai chiesti ai clienti, tramite operatori telefonici o messaggi di testo, le credenziali di accesso per operazioni di home banking, PIN, codici token e codici sicurezza riportati sulle carte di credito (nei casi dubbi, è sempre consigliabile contattare il proprio istituto bancario attraverso canali ufficiali alternativi).

Trojan bancari, come attenuare il rischio d’infezione

I malware, come noto, possono essere diffusi con diversi espedienti (che rimandano ad aprire documenti malevoli di ogni genere) tra i quali il malspam o il download di file infetti da siti non attendibili.

In tutti i casi, i documenti propinati nascondono, in realtà, al loro interno processi più o meno articolati per diffondere anche pericolosi trojan bancari.

Purtroppo, ne sono un triste esempio le numerose segnalazioni fatte dal CSIRT riguardo a campagne italiane a tema MISE e fatture Enel che hanno veicolato il famigerato trojan bancario Ursnif/Gozi.

Ursnif, scoperto nell’estate 2018 e specializzato per la sottrazione di credenziali relative a servizi di home banking, si è diffuso in questi anni attraverso diverse campagne malspam sfruttando temi ispirati a situazioni e/o eventi contemporanei e continua purtroppo a rappresentare una reale minaccia che riappare ciclicamente.

Non a caso, secondo il rapporto Global Threat Index 05/2020 di Check Point Research è entrato per la prima volta nella top 10 delle minacce rilevate, posizionandosi al quinto posto a livello globale.

Per tutelarsi da queste temibili eventualità, oltre che proteggere il proprio dispositivo con antivirus affidabili, possono risultare anche utili dei semplici ma efficaci accorgimenti:

  • abilitare le macro solo se si è certi dell’affidabilità dei documenti e del relativo autore;
  • prestare attenzione, alle richieste inusuali e a eventuali anomalie nell’operatività dei servizi di home banking;
  • controllare sempre con attenzione i dati riportati e ricevuti nelle notifiche relative a operazioni di bonifici online, potrebbero nascondere reindirizzamenti verso pagine web e software dannosi;
  • tenersi aggiornati riguardo alle campagne di diffusione di trojan bancari, le cui modalità sono in continua evoluzione, aggiornando periodicamente le firme dei propri antivirus tramite gli update disponibili.

Phishing, come attenuare il rischio di adescamento

Il phishing, come noto, prevede la trasmissione di comunicazioni (e-mail) esca molto verosimili e convincenti che solitamente contengono link verso pagine di landing per l’inserimento di password e codici personali a vario titolo.

Può capitare, come già accennato, di ricevere anche sms allestiti ad arte (smishing) oppure telefonate ingannevoli (vishing) attraverso cui i malintenzionati cercano di indurre l’interlocutore con vari escamotage a condividere dati personali, credenziali e informazioni sensibili.

Gli SMS possono a loro volta rimandare ad un numero telefonico da contattare, dando maggiore credibilità alle false richieste.

Queste ultime due declinazioni del phishing, essendo delle modalità solitamente non consuete per le truffe online (anche se negli ultimi tempi il trend risulta in crescita), possono essere ancora più pericolose a causa della propensione a ritenere che in un breve messaggio o in un colloquio telefonico con operatore non possano celarsi delle subdole insidie.

Anche in questi casi occorre la massima tutela puntando sulla prevenzione ed il buon senso:

  • imparare a riconoscere e-mail ed SMS fraudolenti. Non inserire mai dati personali su pagine raggiunte tramite link o allegati. Solitamente nei messaggi di posta elettronica e SMS di questo tipo l’indirizzo e il numero telefonico del mittente possono risultare contraffatti (spoofing) e il contenuto stesso dei messaggi, oltre a non essere personalizzato, può intendere di risolvere falsi problemi di sicurezza o propinare offerte improbabili;
  • non cliccare mai sui link sospetti, non scaricare file allegati e nemmeno rispondere o cliccare su link propinati per non ricevere più comunicazioni future.

Alcuni casi di phishing documentati dal CSIRT Italia

Già da inizio anno, sono state rilevate dal CSIRT diverse campagne di phishing ai danni di clienti di istituti di credito, perpetrate mediante:

  • pagine web con grafiche simili a quelle ufficiali e residenti su domini allestiti ad hoc;
  • con mezzi di diffusione quali SMS (smishing) inviati direttamente allo smartphone della vittima e/o e-mail di phishing.

Tra queste spiccano le campagne che hanno coinvolto i servizi di home banking di Unicredit ed N26, rispettivamente con i link di phishing hxxps://inoltro-verifica-dati[.]com/users e hxxp://servizio-n26-policy[.]it/ e di Monte dei Paschi di Siena con il link di phishing hxxps://area-clienti-banking[.]com/users, che per certi versi sono risultate tutte molto simili tra loro.

Infatti, le pagine di landing si compongono di form che raccolgono, tramite codici javascript, alcune informazioni sul target per poi inviarle agli attaccanti assieme ai dati di accesso con richieste post indirizzate verso URL illegittimi:

  • credenziali di accesso al servizio (codice utente/adesione, password, PIN);
  • numeri di telefono;
  • indirizzi IP (tramite una chiamata al servizio ipify.org per l’acquisizione dell’indirizzo IP della vittima) e sistemi operativi dei dispositivi (sfruttando lo User-Agent).

In tutti i casi emerge che dopo avere recuperato i dati richiesti, le vittime vengono reindirizzate automaticamente sui veri portali degli istituti bancari o su false pagine di riepilogo.

La denuncia come mezzo di contrasto

Purtroppo, anche secondo l’ultimo Rapporto Clusit, tra le tecniche di attacco sfruttate dai criminali informatici il malware, il phishing e il social engineering continuano ad essere la causa di una buona parte degli attacchi, con una incidenza percentuale rispettivamente del 42% e del 15% sul totale.

La negligenza e la distrazione possono rivelarsi fatali e comportare illeciti addebiti e trasferimenti bancari oltre che violazioni di dati con serie conseguenze e compromissioni.

Qualora si ricevessero queste tipologie di comunicazioni oltre che prestare le dovute precauzioni raccomandate, non c’è nient’altro da fare che fornire il proprio contributo per attenuarne la diffusione e ridurre il più possibile il numero di eventi malevoli riusciti, attraverso la segnalazione dei casi sospetti e la denuncia delle truffe subite alle forze dell’ordine e ai servizi antifrode ufficiali degli istituti bancari interessati.

Digital event, 24 giugno
Forum PA > La sicurezza informatica delle istituzioni pubbliche per la resilienza del sistema paese
Sicurezza
Disaster recovery
@RIPRODUZIONE RISERVATA

Articolo 1 di 5