Quando si parla di phishing online, la fantasia dei cybercriminali sembra non avere fine. In questo momento di forte crisi causato dalla pandemia dovuta al Coronavirus, qualcuno ha deciso di approfittare del bonus bici e rubare così dati sensibili. Ma di cosa si tratta e quali sono gli elementi della nuova truffa online?
Phishing: di cosa si tratta
Innanzitutto, è bene fare un passo indietro e spiegare in cosa consiste la pratica del phishing online. Phishing è una parola inglese usata per descrivere una pratica usata tra i cybercriminali che consiste in un approccio subdolo attraverso il quale gli utenti sono spinti a rivelare informazioni personali e dati segreti quali numeri di carte di credito, username, password e altre credenziali di accesso sensibili. Il fine ultimo ovviamente è quello di utilizzare questi dati per accedere ai conto correnti bancari delle vittime e rubare così denaro. Questo viene effettuato inviando ai malcapitati delle vere e proprie esche, come e-mail e fasulle comunicazioni ufficiali che sembrano provenire da enti e organizzazioni veritieri e che tuttavia risultano essere fake. Nelle mail si richiede di installare aggiornamenti, confermare password e informazioni personali.
Phishing e bonus bici: la nuova strategia dei cybercriminali
Tra le nuove trovate degli hackers c’è lo sfruttamento del bonus bici erogato dal Governo durante il 2020. Ufficialmente noto come bonus mobilità, si tratta di un contributo erogato dal Governo che può arrivare fino a 500 Euro per l’acquisto di mezzi sostenibili quali biciclette, monopattini e segway. La piattaforma del sito del Ministero dell’Ambiente dedicata alle domande per fare richiesta del bonus è subito andata in tilt e questo ha dato l’occasione ai cybercriminali di approfittare della situazione a proprio vantaggio. Infatti, per accedere alla piattaforma ed ottenere così un posto in coda per l’eventuale assegnazione del bonus, è necessario avere con sé le propria identità Spid, la fattura o lo scontrino parlante in formato pdf e le coordinate bancarie per avviare così la procedura di rimborso. I cybercriminali hanno deciso di approfittare della situazione attraverso tecniche diverse.
Le tecniche di frode usate
Tra le tecniche di frode usate c’è la creazione di falsi domini che simulano in modo quasi perfetto l’originale. Tra questi, c’è quello segnalato dall’associazione romana Salvaciclisti. Si tratta di un dominio registrato in California, quasi identico all’originale. L’unica differenza è la presenza di una a accentata, anziché di una a normale come nel sito originale. Inoltre il sito fake non contiene alcuna informazione relativa al bonus bici, ma solo una serie di link che hanno lo scopo di reindirizzare l’utente verso dei campi di inserimento dei dati sensibili. Tuttavia, le tecniche di phishing non sono finite qui.
Il caso dello sfruttamento dello Spid di Poste Italiane
Un’altra tecnica utilizzata consiste invece nello sfruttamento delle credenziali Spid di Poste Italiane. Questa tecnica prevede l’invio di un sms o una mail che contengono al proprio interno la richiesta di aggiornare l’applicazione PosteID, necessaria per l’utilizzo della propria identità elettronica. Per la richiesta del bonus bici, infatti, è necessario l’identità Spid rilasciata da Poste Italiane. A partire dal 6 ottobre gli hacker hanno creato un falso dominio chiamato aggiornamento-spid[.]com. Sebbene il falso dominio sia stato inserito nella lista dei domini malevoli e riconosciuto dai maggiori browser di personal computer e laptop, non è ancora riconosciuto come dannoso per chi dovesse collegarsi da mobile. È necessario quindi prestare la massima attenzione. Circolano anche diverse email fake che sembrerebbero inviate dai sistemi automatici di poste italiane dall’indirizzo fake info@posteid.poste.it, che inviterebbero gli utenti a reistallare l’app e inserire nuovamente i propri dati personali.
Come difendersi?
Per difendersi dal phishing online è necessario prestare sempre la massima attenzione durante la navigazione. Purtroppo, durante la pandemia i tentativi di phishing a danni di privati e aziende sono aumentati in modo significativo. È bene ricordare come istituzioni, sia pubbliche che private e istituti bancari non richiedano mai all’utente il cambiamento di password e altri dati sensibili attraverso link, email ed sms. Inoltre, ci sono anche altri segnali che possono aiutare ad identificare il fake. Tra questi ci sono errori di ortografia e formattazione o layout simili ma non identici all’originale. Ancora, è bene notare come istituti bancari e postali inviano mail ed sms solo come notifiche.
In generale, quando si riceve una mail sospetta, è opportuno cancellarla dalla propria casella di posta, e, lo ripetiamo ancora una volta, prestare in ogni caso la massima attenzione.
A cura di
Miriam Salamone
FONTI
CREDITS