09.08.2022 - Il numero di segnalazioni pervenute all’NCSC rimane costante. Hanno attirato l’attenzione le segnalazioni relative a due nuovi modus operandi per il phishing. Nella prima variante un link rinvia apparentemente a una piattaforma di condivisione online personalizzata dove bisogna immettere la password della propria webmail, mentre nella seconda vengono inviate via e-mail delle false fatture con codice QR a nome di Sunrise.
Phishing su Webmail tramite una piattaforma di condivisione online
Gli aggressori puntano a carpire i dati di accesso delle vittime tramite delle e-mail di phishing, come è successo nel caso segnalato all’NCSS. L’obiettivo sono le credenziali per accedere alla webmail aziendale. Per ottenere questi dati i truffatori inviano un’e-mail in cui chiedono al destinatario di cliccare su un link per approvare un documento, nel caso in questione il piano delle vacanze. L’intestazione e il piè di pagina sembrano quelli delle risorse umane dell’azienda presa di mira.
Il link nell’e-mail non rinvia al documento ma a una pagina di phishing che si presenta come piattaforma di condivisione online. Per dare alla pagina delle sembianze più convincenti, in background l’applicazione tenta automaticamente di recuperare e visualizzare il logo dell’azienda sotto attacco (solitamente salvato come favicon.ico sul sito Internet dell’azienda). La struttura della pagina è molto semplice: si vedono soltanto un’immagine di sfondo e il documento in PDF da approvare.
Il tentativo di phishing vero e proprio ha luogo quando si cerca di aprire il PDF: si apre una finestra in cui sono già presenti l’indirizzo e-mail della vittima e l’invito a inserire la password.
Un esame più attento della pagina ha rivelato che il tutto viene trasmesso come messaggio di errore. La pagina stessa si presenta come messaggio «codice di stato 404 – pagina non trovata». Probabilmente si tratta di un tentativo di ingannare i programmi che riconoscono automaticamente il phishing e segnalano le pagine da bloccare.
- Non cliccate su link ricevuti per e-mail se non potete accertarne la provenienza.
- Non inserite i vostri dati di accesso su siti aperti cliccando su link che avete ricevuto per e-mail.
- Segnalate all’NCSC i tentativi di attacco di questo tipo utilizzando l’apposito modulo.
Modulo di segnalazione dell’NCSC
La fattura di Sunrise con codice QR si rivela un tentativo di phishing
Il diffuso utilizzo di codici QR per pagare fatture e transazioni direttamente dallo smartphone offre nuove possibilità anche agli aggressori. Questo è quanto emerge dai tentativi di phishing attualmente segnalati all’NCSC: nel caso in questione, l’e-mail di phishing ha un design sofisticato e non è subito riconoscibile come fasulla. Tuttavia, gli aggressori hanno usato il vecchio logo di Sunrise e nella formula di apertura utilizzano l’indirizzo e-mail della vittima invece del nome. Sono presenti anche gli abituali pulsanti «Pagare ora» e «Visualizzare fattura».
Inoltre viene visualizzato un codice QR che rimanda alla pagina di phishing tramite un URL shortener «qrco.de/xxx». Il sito web «qrco.de» permette di creare codici QR individuali. Pertanto i truffatori devono creare manualmente un codice QR per ogni nuovo link, il che richiede molto tempo, vista la grande quantità di pagine di phishing. È anche interessante che il link che si cela dietro il codice QR è diverso da quello dietro al pulsante «Pagare ora» (ma entrambi rinviano alla stessa pagina di phishing). Quindi è possibile che i truffatori stiano ancora testando e valutando la validità dei codici QR.
- Per scansionare i codici QR utilizzate un’app affidabile e riconosciuta come sicura.
- Dopo la scansione e prima dell’apertura, la maggior parte degli «scanner» mostra quale operazione viene eseguita o a quale pagina si sarà indirizzati. Verificate queste informazioni.
- Non inserite mai i dati di login a un sito Internet che avete aperto tramite un codice QR.
- Per maggiori informazioni sui codici QR:
Codici QR: utilizzo e rischi
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 09.08.2022