20.04.2021 - Le poche segnalazioni pervenute all’NCSC nella settimana appena trascorsa riguardavano soprattutto truffe legate a piccoli annunci e investimenti. È stata osservata una nuova tattica dei truffatori, che attirano l’attenzione delle imprese su presunte banali falle di sicurezza o impostazioni di sicurezza mancanti. Gli autori puntano a rendere i destinatari insicuri e convincerli a versare denaro. Sono degni di nota alcuni tentativi di truffa legati a «Mobile Pay» nell’ambito dei quali sono stati addebitati importi fraudolenti direttamente nella fattura telefonica.
Statistiche attuali
Un concorso fatale
«Hai vinto! Ora devi trasmetterci il codice di verifica». In questo caso, un messaggio a prima vista allettante celava un retroscena criminale. Gli aggressori hanno dapprima preso possesso dell’account Facebook di un piccolo negozio di alimentari da cui in seguito hanno postato un finto concorso. I partecipanti dovevano indicare il loro numero di telefono, al quale è stata inviata immediatamente la conferma della vincita. In seguito bastava trasmettere un codice ricevuto per SMS.
Nel frattempo, i truffatori effettuavano un acquisto online fornendo il numero di cellulare della vittima. Molti non sanno che il «Direct Carrier Billing» permette di addebitare alla fattura telefonica gli acquisti effettuati negli «app store». Gli acquisti devono però essere confermati con un codice inviato per SMS al numero indicato, ovvero quello della vittima. Il truffatore ha quindi bisogno di questo codice per completare e confermare l’acquisto. Per questo motivo, cerca un pretesto (in questo caso il concorso) per farselo inviare. Se la vittima invia il codice, il truffatore può confermare il pagamento e l’importo viene addebitato alla fattura telefonica.
Nelle ultime settimane le segnalazioni di addebiti ingiustificati su fatture telefoniche sono aumentate. Praticamente dietro ogni addebito vi era un abuso del «Direct Carrier Billing». Non comunicate mai codici ricevuti per messaggio!
Abbiamo scoperto una falla di sicurezza
Esistono numerosi programmi «bug bounty» che ricompensano le persone che scoprono falle di sicurezza con metodi etici. Questi programmi hanno delle regole a cui deve attenersi sia chi scopre e segnala una vulnerabilità sia la parte interessata. La settimana scorsa ci è pervenuto uno scritto che comunicava a un’azienda una falla di sicurezza. Nel caso specifico si menzionava l’assenza di DMARC («Domain-based Message Authentication, Reporting and Conformance»), un sistema che serve per ridurre l’uso improprio della posta elettronica. Nello scritto non si chiedeva denaro, ma l’autore comunicava che avrebbe ricontattato l’azienda se il problema non fosse stato risolto.
Tuttavia, l’assenza di DMARC è facilmente individuabile e non occorre essere degli specialisti. Inoltre, questo tipo di problema non è una vulnerabilità, poiché manca semplicemente un elemento di sicurezza supplementare. Gli autori dello scritto puntano a instillare insicurezza nei destinatari e a convincerli a pagare un importo. Probabilmente, se si risponde una volta i truffatori segnaleranno altre «falle banali» e tenteranno di sottrarre effettivamente denaro alla vittima.
Se ricevete segnalazioni di falle di sicurezza, fate tutti gli accertamenti del caso e siate cauti. Non lasciatevi mai mettere sotto pressione.
Ultima modifica 20.04.2021