Nuovo bollettino del CSIRT Italia sul phishing, evidenziando i rischi per gli utenti.

Si sta diffondendo una nuova truffa che sfrutta il phishing a tema “mancato pagamento del pedaggio autostradale“, come ha evidenziato un bollettino del CSIRT Italia.

Veicolata tramite WhatsApp, “la truffa è finalizzata a indurre le potenziali vittime a consultare un presunto insoluto relativo al pedaggio autostradale e a inserire i dati della propria carta di pagamento“.

Ad ingannare è soprattutto la struttura dell’inganno, visto che la pagina iniziale malevola risulta “molto simile graficamente a quella di Autostrade per l’Italia“. Da qui, l’invito nei confronti della potenziale vittima a verificare “un presunto mancato pagamento del pedaggio inserendo il numero di targa del proprio veicolo“. Proprio qui si trova il principale pericolo.

Le modalità della truffa

Inserendo il numero di targa, spiega il CSIRT, c’è il ridirezionamento della vittima verso una pagina che mostra il dettaglio di un presunto pedaggio scaduto. Qui l’utente si trova davanti una serie di elementi che conferiscono credibilità della richiesta. Tra questi:

• la targa del veicolo.
• La relativa classe.
• La data e l’ora del transito.
• Un importo dovuto pari a 3,50 euro.

La pagina indica inoltre una condizione di pagamento denominata “Addebito automatico non riuscito” e una scadenza entro cui effettuare il versamento. Il tutto è accompagnato da un messaggio che intima “possibili sanzioni aggiuntive e l’avvio di procedure di recupero in caso di mancato pagamento entro il termine indicato“. Si osserva, inoltre, come l’importo richiesto sia particolarmente contenuto.

Tale circostanza potrebbe contribuire ad abbassare la soglia di attenzione dell’utente, rendendo la richiesta economicamente plausibile e meno sospetta. Successivamente, l’utente si ritrova in una pagina di “Pagamento Sicuro”. Qui ci si trova di fronte alla richiesta di dati sensibili come il nome del titolare della carta, il numero della carta, la data di scadenza e il codice CVV/CVC.

Qualora la vittima prosegua con il pagamento, “la pagina restituisce un messaggio di errore secondo cui le carte di debito non sarebbero supportate“. Così, l’utente riceve l’invito ad utilizzare un’altra carta di credito per completare l’operazione.

Tale messaggio appare verosimilmente fuorviante, con una struttura che non consente all’utente potrebbe di accorgersi tempestivamente della compromissione dello strumento di pagamento utilizzato.

Qual è l’elemento di principale rischio?

Il rischio più grande è il valore dell’importo richiesto che essendo molto basso, potrebbe essere un elemento utile a rendere la truffa più credibile. Una cifra di pochi euro, infatti, può sembrare plausibile per un presunto mancato pagamento del pedaggio. Ed è così che si spinge un utente a prestare meno attenzione.

Inoltre, “per pagamenti online di importo ridotto, in alcuni casi potrebbe non essere richiesta un’ulteriore conferma da parte dell’utente da parte della banca“.

Azioni di mitigazione

Gli utenti e le organizzazioni possono fronteggiare questa tipologia di minaccia impiegando alcuno misure di mitigazione. Nel dettaglio:

• diffidare da comunicazioni che richiedano il pagamento urgente di importi modesti, soprattutto se accompagnate da riferimenti a sanzioni, scadenze ravvicinate o procedimenti di recupero.
• Verificare sempre la legittimità del sito internet prima di inserire dati personali o finanziari, controllando con attenzione il dominio e gli elementi identificativi della pagina.
• Non accedere a collegamenti ricevuti tramite email, SMS o messaggi inattesi, privilegiando l’accesso diretto ai portali ufficiali digitando manualmente l’indirizzo nel browser.
• Non inserire i dati della propria carta su pagine web di cui non sia stata verificata con certezza l’autenticità.
• In caso di inserimento dei dati su una risorsa sospetta, contattare tempestivamente il proprio istituto bancario o l’emittente della carta. Si può così valutare il blocco dello strumento di pagamento e monitorare eventuali operazioni non riconosciute.

Infine, il CSIRT raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) che si trovano nell’apposita sezione.

Vai al sito di Cybersecurity Italia.

L'articolo Phishing a tema “mancato pagamento del pedaggio autostradale”, l’allarme del CSIRT Italia. Come proteggersi sembra essere il primo su CyberSecurity Italia.