Settimana 31: un nuovo modus operandi per il phishing con le fatture QR

09.08.2022 - Il numero di segnalazioni pervenute all’NCSC rimane costante. Hanno attirato l’attenzione le segnalazioni relative a due nuovi modus operandi per il phishing. Nella prima variante un link rinvia apparentemente a una piattaforma di condivisione online personalizzata dove bisogna immettere la password della propria webmail, mentre nella seconda vengono inviate via e-mail delle false fatture con codice QR a nome di Sunrise.

Phishing su Webmail tramite una piattaforma di condivisione online

Gli aggressori puntano a carpire i dati di accesso delle vittime tramite delle e-mail di phishing, come è successo nel caso segnalato all’NCSS. L’obiettivo sono le credenziali per accedere alla webmail aziendale. Per ottenere questi dati i truffatori inviano un’e-mail in cui chiedono al destinatario di cliccare su un link per approvare un documento, nel caso in questione il piano delle vacanze. L’intestazione e il piè di pagina sembrano quelli delle risorse umane dell’azienda presa di mira.

e-mail di phishing con link al documento da approvare
e-mail di phishing con link al documento da approvare

Il link nell’e-mail non rinvia al documento ma a una pagina di phishing che si presenta come piattaforma di condivisione online. Per dare alla pagina delle sembianze più convincenti, in background l’applicazione tenta automaticamente di recuperare e visualizzare il logo dell’azienda sotto attacco (solitamente salvato come favicon.ico sul sito Internet dell’azienda). La struttura della pagina è molto semplice: si vedono soltanto un’immagine di sfondo e il documento in PDF da approvare.

Sito Internet del finto portale di condivisione online. Si può cliccare soltanto sull’icona del file PDF. Se il logo dell’azienda è disponibile come file favicon.ico sulla homepage, esso viene visualizzato in alto a sinistra.
Sito Internet del finto portale di condivisione online. Si può cliccare soltanto sull’icona del file PDF. Se il logo dell’azienda è disponibile come file favicon.ico sulla homepage, esso viene visualizzato in alto a sinistra.

Il tentativo di phishing vero e proprio ha luogo quando si cerca di aprire il PDF: si apre una finestra in cui sono già presenti l’indirizzo e-mail della vittima e l’invito a inserire la password.

Finestra pop-up con tentativo di phishing
Finestra pop-up con tentativo di phishing

Un esame più attento della pagina ha rivelato che il tutto viene trasmesso come messaggio di errore. La pagina stessa si presenta come messaggio «codice di stato 404 – pagina non trovata». Probabilmente si tratta di un tentativo di ingannare i programmi che riconoscono automaticamente il phishing e segnalano le pagine da bloccare.

  • Non cliccate su link ricevuti per e-mail se non potete accertarne la provenienza.
  • Non inserite i vostri dati di accesso su siti aperti cliccando su link che avete ricevuto per e-mail.
  • Segnalate all’NCSC i tentativi di attacco di questo tipo utilizzando l’apposito modulo.
    Modulo di segnalazione dell’NCSC

La fattura di Sunrise con codice QR si rivela un tentativo di phishing

Il diffuso utilizzo di codici QR per pagare fatture e transazioni direttamente dallo smartphone offre nuove possibilità anche agli aggressori. Questo è quanto emerge dai tentativi di phishing attualmente segnalati all’NCSC: nel caso in questione, l’e-mail di phishing ha un design sofisticato e non è subito riconoscibile come fasulla. Tuttavia, gli aggressori hanno usato il vecchio logo di Sunrise e nella formula di apertura utilizzano l’indirizzo e-mail della vittima invece del nome. Sono presenti anche gli abituali pulsanti «Pagare ora» e «Visualizzare fattura».

Pagina di phishing con codice QR che rinvia a una falsa fattura.
Pagina di phishing con codice QR che rinvia a una falsa fattura.

Inoltre viene visualizzato un codice QR che rimanda alla pagina di phishing tramite un URL shortener «qrco.de/xxx». Il sito web «qrco.de» permette di creare codici QR individuali. Pertanto i truffatori devono creare manualmente un codice QR per ogni nuovo link, il che richiede molto tempo, vista la grande quantità di pagine di phishing. È anche interessante che il link che si cela dietro il codice QR è diverso da quello dietro al pulsante «Pagare ora» (ma entrambi rinviano alla stessa pagina di phishing). Quindi è possibile che i truffatori stiano ancora testando e valutando la validità dei codici QR.

  • Per scansionare i codici QR utilizzate un’app affidabile e riconosciuta come sicura.
  • Dopo la scansione e prima dell’apertura, la maggior parte degli «scanner» mostra quale operazione viene eseguita o a quale pagina si sarà indirizzati. Verificate queste informazioni.
  • Non inserite mai i dati di login a un sito Internet che avete aperto tramite un codice QR.
  • Per maggiori informazioni sui codici QR:
    Codici QR: utilizzo e rischi

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 09.08.2022

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2022/wochenrueckblick_31.html