Le campagne di phishing mutano continuamente e minacciano ogni giorno i brand italiani più noti. È quanto emerge da un rapporto appena pubblicato dai colleghi dell’azienda di sicurezza D3Lab.

Poste italiane, il brand nostrano tra i più colpiti

La prima cosa che emerge dall’analisi degli esperti è che alcuni brand sono letteralmente presi d’assalto da parte di gruppi criminali che creano domini ad hoc per varie attività illegali che beneficiano della reputazione dell’azienda vittima.

Poste Italiane è sicuramente tra i brand più colpiti in base alle analisi condotte da D3Lab. In poco meno di due mesi (rilievi 01/02/17-23/03/17) sono stati infatti creati più di 70 domini con nomi riconducibili all’azienda postale.

Talvolta i domini fasulli sono utilizzati per attività di “semplice” phishing e sono utilizzati per raccogliere dati sensibili dell’utenza, in altri casi i domini sono finalizzati alla distribuzione di codici malevoli.

Gli esperti dell’azienda D3Lab portano ad esempio il dominio poste-postpay.net utilizzato dai criminali per distribuire un’applicazione Android Poste Italiane, che in realtà è un malware Android.

Come evitare di scaricare il malware da siti fasulli

Ma come si procede per individuare il gran numero di siti malevoli pubblicati a scapito di un brand? Una possibile tecnica è quella dell’analisi dei profili di chi registra i siti malevoli, quindi:

1. Si opera un reverse whois (ad esempio qui) sui siti utilizzati in altre campagne di phishing a danno di un particolare brand, (nel caso specifico quello di Poste Italiane).
2. Si analizzano i dati forniti dal registrante del dominio malevolo.
3. Si cercano altri riscontri sul db dei whois.

Maggiore è il numero di campagne di phishing monitorate e migliore può essere la ricerca attraverso tecniche di correlazione delle informazioni.

“Sovente l’attività di intelligence che si sviluppa dall’esame di più casi di phishing correlabili ad un singolo gruppo criminale evidenzia l’interesse dei criminali nei confronti di più enti target, talvolta di paesi diversi tra l’altro anche nomi di dominio creati per phishing ai danni di ente francese, registrati sempre dalla stessa persona.” spiegano i colleghi di D3Lab.

Vi invito a prender visione della cura dei dettagli del falso sito, un aspetto fondamentale per il successo di una campagna. Il sito in questione era addirittura ottimizzato per dispositivi mobili.

Il dominio in questione fornisce le istruzioni necessarie per l’installazione delle falsa applicazione che in realtà è un codice malevolo come dimostrato dall’analisi condotta mediante il servizio online VirusTotal.

Che succede se si installa il malware

Se si casca nel trucco, una volta installata l’applicazione, l’attaccante avrà pieno possesso del vostro telefono esponendovi ad un ampio numero di attacchi, dal furto di informazioni alle frodi finanziarie.

Il vostro telefono infatti potrebbe essere utilizzato per chiamare numeri a pagamento a vostra insaputa oppure per sorvegliare le vostre attività quotidiane.

Come di consueto non posso che ricordarvi di installare applicazioni solo dagli store ufficiali. Prestate attenzione all’indirizzo del sito che visitate e mantenete aggiornati i vostri software ed i relativi sistemi di difesa.