#smshing

ATTENZIONE SMSHING (fishing fatto via sms)

QUESTO È UN MESSAGGIO FALSO!!

Il sito è fasullo, non cliccate.

SEGNALATELO COSÌ:

...

...

....

"Okay, qui si fa sul serio! Questo è un Phishing sofisticato!"

...e quindi iniziamo la ricerca...

Cliccando sulla immagine di copertina, si finisce su questo sito:

...e cliccando su uno degli altri link che si trovano in basso nell'email, si apre questa pagina:

...e solo osservando bene gli indirizzi nella barra degli indirizzi(1), ci rendiamo conto che...

...è una email ufficiale di "CheBanca!"

😱

Abbiamo subito iniziato a pensare al motivo dell'enorme equivoco: la email avrebbe potuto essere un tentativo di phishing? Sì, qualsiasi comunicazione può essere una truffa. Ma perché sono suonati tutti i campanelli d'allarme?!

Siamo così paranoici?

Ora facciamo un'ipotesi assurda: immaginiamo che noi si sia un gruppo di hacker e si debba trovare il modo per truffare delle persone "indifese". Dobbiamo quindi trovare il punto debole di queste persone e trovare il punto debole dell'ente che ha la loro fiducia, per ottenere quello che vogliamo.

Non saremo abili come @papero-learning, però vogliamo immaginare di avere ottenuto nel Deep Web un "attestato di mariuolo informatico", e per questo ci viene subito in mente di sfruttare una comunicazione email inviata da CheBanca! al fine di sensibilizzazione in merito all'importanza della sicurezza informatica... il che, se dovessimo riuscirci, sarebbe proprio una beffa per la banca (oltre che un danno per i malcapitati).

Ci teniamo a precisare che quello che spieghiamo qui di seguito è illegale e NON va fatto.

Non pensate di seguire le indicazioni senza essere "beccati"!

Se siete un (potenziale) hacker che sta leggendo queste righe, siete messi proprio male lasciate perdere.

La Polizia Postale, se vi lascia fare, è solo perché vuole capire fin dove arrivate, e se siete affiliati ad una qualche organizzazione...

Se invece siete brave persone, non provateci nemmeno, soprattutto non venite a lamentarvi da noi, se poi finisce male. Se finisce bene invece, si smezza, eh.

Ricordate che alla fine vince sempre la giustizia.

Immaginiamo quindi che voi siate Clienti di CheBanca! e che oggi avete ricevuto la email di cui sopra, ma da un impostore (ovvero da noi che stiamo facendo i "mariuoli informatici D.O.C."). Per fare bene il nostro lavoro abbiamo modificato uno dei link (oppure tutti i link per aumentare la probabilità che voi clicchiate), in modo che vi si apra un sito simile a quello a cui siete abituati, tipo ad esempio:

https://www.chebanca.portalserver.it/homebanking/home (2)

Una volta inserite le credenziali (3), apparirà questa schermata:

Vi arriverà quindi una comunicazione sul vostro cellulare, direttamente sull'app di CheBanca!, che vi chiederà di autorizzare l'accesso, cosa che voi prontamente farete, come fate sempre. Solo che le varie rotelle questa volta ci impiegano un po' di più del solito...

Ebbene, mentre voi state lì ad aspettare che la rotella smetta di girare... i malintenzionati sono entrati nel vostro conto e hanno iniziato a cercare informazioni per chiamarvi (sempre se non hanno già i vostri dati grazie a dei data leak in cui siete stati coinvolti).

Appena i malintenzionati avranno avuto accesso ai vostri dati personali, riceverete la telefonata di un (falso) operatore di CheBanca! che vi chiederà di "autorizzare lo sblocco del vostro conto", che voi infatti vedete sempre "con i cerchi che girano".

In realtà starete autorizzando un bonifico, e figurarsi se andrete a verificare il messaggio ricevuto dalla banca, dato che siete pensate di essere al telefono con la Banca!!!

Conclusione:

💸💸💸💸💸💸💸💸

N.B.: Questo racconto è frutto di ipotesi non verificate. Ipotesi plausibili, per le quali si dovrebbero prevedere delle procedure consone, per evitare che si concretizzino ad opera di malintenzionati.

A questo punto, consigliamo un bel ripasso:

Cos'è il Phishing

Contatti CheBanca!

Blocco Carte CheBanca!

Blocco Codici CheBanca!

Che Banca! :-)

Un paio di precisazioni:

1)

Molta gente usa la

"CASELLA DI RICERCA DI GOOGLE"

per visitare dei siti,

anche quando ha a disposizione tutto l'indirizzo completo come ad esempio:

"https://www.chebanca.it/public/footer/accesso-e-sicurezza/phishing",

invece di usare la

"BARRA DEGLI INDIRIZZI":

...e indovinate un po' come mai i tentativi di phishing vanno a buon fine?

2)

il link reale per accedere all'Area Clienti di CheBanca! è:

https://www.chebanca.it/portalserver/homebanking/home

mentre il dominio portalserver.it è stato da noi registrato prima della pubblicazione di questo post, per evitare che malintenzionati possano veramente effettuare l'operazione qui descritta; in realtà potrebbero farlo lo stesso, prendendo fraudolentemente possesso del dominio, ma la cosa è alquanto improbabile, perché tecnicamente complesso (ma non impossibile).

3)

In realtà nella situazione da noi descritta, voi in qualità di "malcapitati", stareste inserendo le credenziali sul sito fake (fasullo), e l'operatore fasullo le utilizzerebbe in tempo reale per inserirle a sua volta nel sito vero, copiandole da quello che voi avreste inserito nel sito falso, dato che il malintenzionato può vedere tutto quello che viene digitato nella pagina fasulla del sito finto.

"Uomo avvisato, mezzo salvato"

...a buon rendere. ❤️

P.S.: come forse qualcuno avrà capito, https://giaguaroblu-it.tumblr.com/ è un progetto che si occupa di sicurezza informatica e nella vita reale.

Se sei un semplice cittadino, ed hai bisogno di consigli per vivere più sicuro, oppure se sei il rappresentante legale di un'azienda e vuoi rafforzare le difese della tua impresa (oltre a leggere tutto lo storico di questo blog) puoi chiedere una consulenza, scrivendo una email a:

giaguarobluit @ gmail.com

A causa della notevole quantità di contatti, potrebbe essere necessario qualche giorno per ottenere risposta.

Inforcert sotto attacco PHISHING E SMSHING

sure xx