Phishing, ennesima truffa via email: presi di mira gli utenti Nexi-CartaSì

Articolo di Arturo di Corinto su LaRepubblica del 13/01/2020

Complici le feste passate, i criminali cercano di indurre in errori i clienti di servizi finanziari con finte email e false fatture. Era successo anche con DHL e GLS. Colpiti anche i farmacisti

LA SUA carta di credito è stata bloccata. Per riattivare i servizi della carta deve accedere alla sua area personale e sbloccarla”. Dopo gli acquisti di Natale, da poco rientrati a lavoro e forse anche distratti, potremmo anche essere tentati di farlo. Ma è meglio di no, visto che si tratta dell’ennesima truffa online. D’altra parte la tattica fraudolenta che usa il phishing per derubare le proprie vittime usa sempre lo stesso schema: l’invio di una email per chiedere al destinatario di compiere un’azione per poterlo imbrogliare.

E così, dopo i supersconti della Befana, i finti documenti fiscali e i falsi certificati di trasporto, stavolta l’email truffaldina per aggiornare e mettere in sicurezza la carta di credito sta raggiungendo, proprio in queste ore, la casella di posta elettronica di moltissimi clienti CartaSì, veri o presunti. Usando una finta intestazione del tipo “Nexi_informa@nexi.it”, l’email fasulla chiede al potenziale titolare di una carta Nexi/CartaSì di accedere all’area personale Clienti Privati per sbloccare la carta non più disponibile per gli acquisti. Ma se si clicca sul link indicato si finisce su un sito clone che ne ingoia le credenziali, che dopo potranno essere usate per accedere ai conti reali delle vittime e svuotargli il conto.

La campagna di phishing veicolata dalla normale posta elettronica mediante la registrazione di 36 domini creati appositamente, è stata individuate dagli esperti di sicurezza del D3Lab che hanno invitato gli utenti a prestare attenzione a tutta la posta che si riceve.

Perché è facile cascarci

I finti nomi di dominio con i siti da cliccare hanno un Top Level Domain (TLD) italiano, come si dice in gergo, cioè finiscono con il dominio .it. Ma da una ricerca più approfondita si scopre che i siti sono stati registrati con due nomi di fantasia, uno è Maldaro Calos e l’altro è omonimo del commissario EXPO2020 Paolo Glisenti, e anche gli indirizzi abbinati non risultano veritieri. I domini sono stati registrati lo scorso 11 Gennaio e tutti richiamano nel nome del dominio la società italiana Nexi come nexisicurezza-aggiornaredati.it o nexisicurezza-gestisciiltuoconto.it. Con una particolarità. Come dicono al D3Lab, tutti i domini sfruttano il certificato SSL, cioè il certificato della transazioni sicure online per far abbassare le difese delle vittime e avvalorare maggiormente l’ufficialità del dominio. Per il resto, la truffa ripropone visivamente la vecchia grafica dell’interfaccia del portale online ufficiale di Nexi. Ma non è detto che gli utenti se ne accorgano. Anche perché l’email è scritta in un italiano stringato ma comprensibile, e l’unico fattore di allarme pare essere l’errata codifica di alcuni caratteri che però potrebbero essere interpretati dagli utenti come un problema del proprio browser.

Ma come è possibile registrare tanto facilmente i domini truffa usando nomi fasulli e non verificati? E poi, come trovare i truffatori che hanno registrato quei domini? Lo spiega Domenico Laforenza, ex direttore del Registro italiano per i nomi a dominio: “Intanto il Gdpr, la normativa europea sulla privacy, non consente di fare apparire informazioni sul registrante per evitare di derivarne informazioni discriminanti. Per sapere di chi si tratta si può interpellare formalmente il Registro.it o avvisare la Polizia Postale”. Purtroppo non è il primo caso. I domini .it sono oltre 3 milioni in Italia e la metà appartiene a persone fisiche che hanno usato un intermediario come Aruba o Tim per farlo. “Per evitare casi come questo dei domini di phishing – conclude Laforenza – bisognerebbe mettere in campo un meccanismo di business intelligence per verificare i dati di questo enorme, gigantesco database”.

Le altre campagne di malspam

Non è finita qui. In queste stesse ore un’altra campagna di malspam, cioè di posta indesiderata con link e allegati malevoli, sta colpendo la Federazione Ordini Farmacisti Italiani. Una finta Pec, cioè un’email di posta elettronica certificata, è diretta al personale amministrativo dell’organizzazione e invita le potenziali vittime a visionare la documentazione allegata contenente finti solleciti di pagamento. L’archivio allegato alle comunicazioni è in grado di infettare la macchina bersaglio con impianti malware (software malevolo) della famiglia sLoad, capace di rimanere silente all’interno del sistema, trafugare dati, installare ulteriore malware e fornire accesso backdoor – ossia attraverso una porta nascosta – alle reti locali. A segnalarlo è la società di cybersicurezza Yoroi.

Prima di Natale era accaduto lo stesso con altri virus di tipo bancario come Emotet e Ursnif allegati a finte comunicazione delle ditte di trasporto GLS e DHL. Secondo l’azienda californiana di cybersecurity Proofpoint, nei prossimi mesi l’email resterà il mezzo di attacco privilegiato per le campagne di phishing. Gli analisti mettono in guardia da attacchi mirati di hacker malevoli per diffondere malware e insediarsi nei sistemi informatici aziendali dstribuendo Trojan bancari e backdoor. In particolare, a ProofPoint sono convinti che saranno presi di mira i sistemi email basati su cloud, come Microsoft Office 365 e Gsuite, i più diffusi.

I consigli per non incappare nelle truffe? Sempre gli stessi: verificare il mittente, non aprire email inattese e allegati che non ci aspettiamo, fare attenzione ai siti che si visitano, ricordare che banche e servizi finanziari non chiedono l’aggiornamento di password e credenziali di accesso via email.