Due mail con allegato gz diversi contengono lo stesso file chm. Questo scarica e avvia il malware. I dati rubati sono esfiltrati grazie all’ftp di un’azienda bosniaca.
Cybercrime, Intesa Sanpaolo ancora vittima del phishing/smishing in Italia
Intesa Sanpaolo ancora vittima del phishing/smishing in Italia. L’esca è come sempre un SMS in cui si richiede di aggiornare i propri dati attraverso un link a un falso sito della Banca
Intesa Sanpaolo vittima per l’ennesima volta di una campagna phishing/smishing del cybercrime in Italia. L’ultimo messaggio è una richiesta di aggiornare i dati, aprendo un link, per continuare a operare online. Questo porta a un sito web, apparentemente dell’Istituto di credito (https://portale-web-info.net/info/), in cui si notifica che “come previsto dalla normativa Europea PSD2 per continuare ad accedere a www.intesasanpaolo.com e per operare online è necessario aggiornare i propri dati. La invitiamo quindi ad aggiornare i suoi dati nel modulo che segue, attivando così la Sicurezza Web 2020. Il mancato aggiornamento porterà al blocco delle sue utenze INTESA SAN PAOLO”. Di conseguenza, la si invita a inserire il codice titolare, il PIN e il numero di telefono. Facendolo, appare un messaggio che riporta: “A breve la contatterà un nostro operatore per verificare i dati inseriti e concludere la verifica di sicurezza”. In realtà, la pagina appartiene a un soggetto terzo, che non ha nulla a che fare con la banca. L’obiettivo, infatti, è rubare i dati del bersaglio per poter accedere al suo conto online.
La campagna del cybercrime è persistente e in continua evoluzione
La campagna phishing/smishing del cybercrime ha preso di mira Intesa Sanpaolo da due settimane e in maniera persistente. Gli SMS, infatti, vengono inviati agli utenti in Italia circa ogni due giorni intorno all’ora di pranzo. Peraltro, sono usati numeri di telefono simili a quelli della Banca, tanto che i dispositivi mobili associano i messaggi falsi a quelli veri nella stessa cronologia. I siti, inoltre, ricalcano molto bene quelli del Gruppo e le motivazioni addotte per chiedere di inserire le credenziali cambiano continuamente. In alcuni casi, i criminali cibernetici sono arrivati anche a inviare falsi codici dell’O-Key per simulare la genuinità delle operazioni e cercare di ingannare meglio le possibili vittime.
Il falso SMS con il link malevolo
Il sito che imita quello di Intesa Sanpaolo
Il messaggio che appare sulla pagina se l’utente inserisce i dati richiesti
Il reale proprietario del sito è offuscato tramite WhoisGuard Protect, ma questo è “hostato” da namecheap
Articoli correlati
