Da martedì 9 Aprile è in corso una importante campagna di Phishing ai danni della Banca Popolare di Sondrio, data l’importante mole di eMail rilevate nei confronti di questo istituto mercoledì abbiamo dato risalto dell’attività tramite i profili ufficiali di D3Lab nei Social Network.
Ad oggi la campagna di Phishing sta proseguendo con l’invio di un massiccio numero di eMail. Il messaggio inviato alla probabile vittima è molto semplice: lo avvisa che la password del proprio Home Banking è scaduta e lo invita ad accedere al sito per completare il login.
Se la vittima clicca sul link evidenziato viene indirizzato ad un redirect intermedio ed infine visualizza un clone del sito ufficiale ospitato su un probabile dominio compromesso. Attualmente abbiamo evidenza di 12 url distinti su 5 differenti dominii che hanno propagato l’attacco ancora in corso.
Risulta rilevante la campagna di invio eMail avvenuta dalla mezzanotte odierna poiché sfrutta un redirect con sottodominio e parametro GET randomico, una pratica efficace per impedire il blocco del collegamento nelle BlockList a causa di infinite variazioni.
Esempio:
- http://link1.phishingredirect.com/redirectA
- http://link2.phishingredirect.com/redirectB
- http://link3.phishingredirect.com/redirectC
Alla vittima vengono inizialmente richieste le credenziali di accesso al proprio profilo di Home Banking, successivamente il proprio numero telefonico ed infine 5 codici OTP.
Di seguito alcuni screenshot esplicativi:
Risulta fondamentale la richiesta del numero di cellulare alla vittima perché sempre più spesso i criminali contattano telefonicamente l’utente fingendosi un operatore del Customer Care della banca con l’intento di carpire ulteriori dettagli per eseguire operazioni bancarie all’insaputa dell’utente. Una nostra ricerca di Luglio 2018 ha evidenziato tale tecnica ampiamente in uso ai danni di Poste Italiane.
Nel corso degli ultimi anni la Banca Popolare di Sondrio ha ricevuto diversi attacchi nel 2014, attualmente il 2019 vede un trend in crescita rispetto ai precedenti 4 anni.
Come di consueto rammentiamo gli utenti a prestare attenzione e a non digitare le proprie credenziali se non sul sito internet ufficiali degli istituti di credito.
L’articolo Phishing Banca Popolare di Sondrio proviene da D3Lab.
