L’allegato Gz di una falsa mail del corriere contiene un exe: il loader, che contatta un altro url e scarica il malware finale.
Cybercrime, Intesa Sanpaolo ancora vittima del phishing/smishing in Italia
Intesa Sanpaolo ancora vittima del phishing/smishing in Italia. L’esca è come sempre un SMS in cui si richiede di aggiornare i propri dati attraverso un link a un falso sito della Banca
Intesa Sanpaolo vittima per l’ennesima volta di una campagna phishing/smishing del cybercrime in Italia. L’ultimo messaggio è una richiesta di aggiornare i dati, aprendo un link, per continuare a operare online. Questo porta a un sito web, apparentemente dell’Istituto di credito (https://portale-web-info.net/info/), in cui si notifica che “come previsto dalla normativa Europea PSD2 per continuare ad accedere a www.intesasanpaolo.com e per operare online è necessario aggiornare i propri dati. La invitiamo quindi ad aggiornare i suoi dati nel modulo che segue, attivando così la Sicurezza Web 2020. Il mancato aggiornamento porterà al blocco delle sue utenze INTESA SAN PAOLO”. Di conseguenza, la si invita a inserire il codice titolare, il PIN e il numero di telefono. Facendolo, appare un messaggio che riporta: “A breve la contatterà un nostro operatore per verificare i dati inseriti e concludere la verifica di sicurezza”. In realtà, la pagina appartiene a un soggetto terzo, che non ha nulla a che fare con la banca. L’obiettivo, infatti, è rubare i dati del bersaglio per poter accedere al suo conto online.
La campagna del cybercrime è persistente e in continua evoluzione
La campagna phishing/smishing del cybercrime ha preso di mira Intesa Sanpaolo da due settimane e in maniera persistente. Gli SMS, infatti, vengono inviati agli utenti in Italia circa ogni due giorni intorno all’ora di pranzo. Peraltro, sono usati numeri di telefono simili a quelli della Banca, tanto che i dispositivi mobili associano i messaggi falsi a quelli veri nella stessa cronologia. I siti, inoltre, ricalcano molto bene quelli del Gruppo e le motivazioni addotte per chiedere di inserire le credenziali cambiano continuamente. In alcuni casi, i criminali cibernetici sono arrivati anche a inviare falsi codici dell’O-Key per simulare la genuinità delle operazioni e cercare di ingannare meglio le possibili vittime.