E’ in corso una nuova campagna di phishing via email, ai danni dell’istituto di credito Intesa Sanpaolo e dei suoi clienti. Con la motivazione dell’aggiornamento obbligatorio ci convince a fare click per venir condotti all’interno di un sito truffa. L’unica motivazione è invece quella di rubare le credenziali d’accesso al nostro internet banking.
Indice degli argomenti
“Importanti avviso di aggiornamento obbligatorio” è un messaggio email truffa
La banca Intesa Sanpaolo è completamente distante dai contenuti di questa email e dell’eventuale sito web di phishing. Si tratta infatti di una frode che sfrutta il nome del noto istituto di credito italiano per convincere l’utente a inserire i propri dati in un sito, fedelissimo a prima vista all’originale in tutti i dettagli.
Abbiamo potuto analizzare che la truffa parte da un messaggio ricevuto via email, non mirato, quindi arriva indistintamente a clienti e non clienti di banca Intesa Sanpaolo. L’email arriva (nel nostro caso, ma potrebbe anche cambiare nel corso della campagna) dall’indirizzo mittente “info@kosqvery.com”, già da qui possiamo notare che non abbia nulla a che fare con i veri uffici di Banca Intesa, benché il nome del mittente sia stato modificato in “Aggiornamento gruppo SpA“, al fine di apparire più credibile agli occhi del destinatario.
Ecco come si presenta il messaggio di posta elettronica:
Nel contenuto del messaggio invece si legge:
“Gentile Cliente, Mastercard Identity Check™ è il nuovo servizio gratuito che rende i tuoi pagamenti online più smart. Ogni volta che confermi un acquisto online, la tua identità è verificata in automatico e in tempo reale per essere sicuri che sia veramente tu a effettuare il pagamento. Solo se necessario, ti sarà richiesto di confermare il pagamento con il metodo di autenticazione adottato dalla tua banca come impronta digitale, riconoscimento facciale o SMS OTP (One Time Password).
Registrati ora in pochi passaggi alle nuove procedure di sicurezza Visa Secure e Mastercard® Identity Check™”.
Il sito web di phishing che imita Intesa Sanpaolo
Una volta convinta la vittima, alla ricezione del messaggio email, potrebbe cliccare sul bottone verde riportato a fine messaggio. Si viene in questo momento indirizzati ad una pagina web ricreata ad arte, che impersona nei minimi dettagli la pagina autentica di accesso propria di Banca Intesa.
Nella figura seguente potete avere una visione d’insieme della pagina completa che l’ignara vittima potrebbe trovarsi davanti:
L’aspetto è fedele, però bisogna fare grande attenzione in prima analisi ai messaggi email come questi, in quanto nessuna banca chiederai mai una verifica dei propri dati con queste modalità, e subito dopo a pagine web come queste, identificandole prima di tutto dall’indirizzo URL che le ospita. Tutti conosciamo il sito web ufficiale del noto istituto di credito, o siamo in grado di riconoscerlo. Ma se leggiamo nella barra degli indirizzi un nome come questo “htt[ps://www.jcpay.in/vendor/sebastian/diff/tests/fixtures/vendor/myclabs/src/php-enum/indexx.php”, si può capire subito che si tratta di qualcosa di diverso da una comunicazione bancaria.
Il sito dal punto di vista tecnico
- Il dominio principale è “jcpay.in”
- E’ localizzato negli Stati Uniti
- Dominio creato il 12 maggio 2018
- Registrar di domini: GoDaddy.com, LLC
- Certificato TLS: rilasciato da “Let’s Encrypt” il 16 marzo 2022
Attenzione al phishing bancario
E’ il classico esempio di sito web di phishing che presenta un’interfaccia impeccabile, ma che ha l’unica funzionalità atta a rubare qualsiasi cosa digitiamo nei campi di testo per cercare di autenticarci. Diffondere un questa maniera i nostri codici di accesso bancari, è qualcosa di molto rischioso e assolutamente da evitare.
La buona pratica, sempre consigliata e attuale alla ricezione di questo tipo di email (o SMS), è quella di ignorare il messaggio e colmare eventuali dubbi, entrando manualmente sulla nostra app personale di smart banking (o sito web della banca a noi noto, quello che utilizziamo quotidianamente) e verificare direttamente all’interno nella sezione “Comunicazioni”, l’esistenza di eventuali campagne obbligatorie di aggiornamento di qualsiasi tipo, che ci potrebbero interessare. Presumibilmente non troveremo niente di tutto questo tra le comunicazioni e nel contempo, abbiamo ottenuto una ulteriore prova dell’inaffidabilità della email appena ricevuta.
Il consiglio è sempre quello di ignorare completamente questo genere di messaggi, senza cliccare alcun link. Oppure se lo si vuole segnalare a questa redazione che provvede all’analisi del phishing, fare screenshot con evidenza anche del mittente e inviare a: dario.fadda@spcnet.it
