Una delle certezze della cyber security è che il phishing mirato non manca mai: c'è sempre qualche campagna che tiene nel mirino gli utenti di qualche brand inconsapevole. Al momento ci sono tre campagne di malspam ben progettate che imitano le comunicazioni di Nexi, Monte dei Paschi di Siena e Bartolini. E soprattutto imitano i loro siti web, per carpire dati personali e di pagamento dei malcapitati utenti.

La campagna più pericolosa è forse quella legata a Nexi, perché mira ad ottenere le credenziali di accesso ai servizi online e di OTP della società di pagamenti. E perché è molto probabilmente affiancata da una campagna parallela di smishing che cerca di catturare gli utenti mobili. Indipendentemente dal vettore usato - mail o SMS - l'utente bersaglio viene portato ad una landing page che riproduce fedelmente il layout del portale legittimo di Nexi Business, dedicato agli esercenti.

Attraverso vari passi, l'utente viene portato ad immettere le sue credenziali di accesso ai servizi Nexi e poi - cosa che dovrebbe allarmare chiunque - invitato a disinstallare l'app Nexi Pay dal suo smartphone, con la scusa di un aggiornamento software. In questo modo però l'utente perde visibilità, almeno per un po', sulle sue transazioni. Consentendo ai criminali di operare senza un possibile controllo.
La campagna che "cavalca" Monte dei Paschi di Siena è molto simile. Anche qui pare esserci una azione congiunta di phishing e smishing, con l'obiettivo di portare l'utente bersaglio ad una finta homepage della banca. Qui un finto accesso all'area riservata permette di rubare il codice utente, la password di accesso al portale e il numero di telefono della vittima. Come in molti altri casi del genere, la sessione poi si chiude con un avviso (finto) dell’impossibilità di accedere alla banca online e la redirezione verso il vero sito di Montepaschi.

Pagamenti truffa

Il phishing che coinvolge il corriere Bartolini ha un funzionamento analogo - con una doppia azione di phishing e smishing - ma uno scopo differente: portare l'utente ad effettuare pagamenti a favore degli attaccanti. Si viene portati ad una replica del sito del corriere e qui, dopo alcuni passi, viene richiesto di autorizzare un pagamento per una somma non specificata. Bartolini, come molti altri corrieri espresso, è spesso coinvolto in azioni di phishing perché è plausibile ricevere sue comunicazioni.

Vale anche la pena sottolineare che è in atto una campagna di smishing simile, ma molto meno efficace perché legata ad un fantomatico corriere IPS, facilmente riconoscibile come finto, e soprattutto perché il processo di cattura dati non funziona correttamente. Chi segue il link ricevuto viene invitato a pagare una piccola somma per sbloccare la consegna di un pacco. Ma, come accennato, il finto processo di raccolta informazioni non si completa.