Secondo un’agenzia di sicurezza russa, Group-IB, i consumatori italiani e spagnoli sarebbero oggetto di un attacco di phishing che mira a sottrarre loro informazioni personali e di carattere finanziario, oltre a iscriverli a servizi in abbonamento, mettendo in palio promozioni, offerte e coupon di brand molto famosi, il cui marchio è stato sfruttato senza alcuna autorizzazione né coinvolgimento diretto.
Tutto è partito da un’indagine della security house italiana DeepCyber che, per conto di Alitalia, indagò su alcuni siti che ne sfruttavano il marchio per operare delle truffe: chiusi tali siti, si scoprì che facevano parte di uno schema più ampio dietro cui, probabilmente, si celava il gruppo hacker “Lotsy” che, secondo Group-IB, già nel 2017, si mise in opera proponendo regali, coupon, e biglietti aerei della nota compagnia di bandiera.
Un ulteriore step di indagini ha portato a identificare 144 domini (di cui 28 ancora attivi) alla base degli attacchi di phishing menzionati che, coinvolti anche altri brand noti, tra cui Carrefour e Conad (con un buono da 500 euro), sostanzialmente, si traducono in messaggi, circolanti su WhatsApp e Facebook, spesso provenienti da amici, posto che uno dei passi richiesti dalla truffa – per maturare la ricompensa prospettata – prevede che si condivida con i contatti dei social e delle app di messaggistica l’url del sito civetta, dopo aver posto dei like alla relativa pagina Facebook, ed aver risposto ad una serie di domande banali.
Secondo Group-IB, per il quale il numero delle vittime potrebbe essere potenzialmente alto, la truffa di phishing in atto sfrutterebbe delle landing page simili, per indirizzo e grafica (loghi compresi), ai siti ufficiali dei brand sfruttati, e prevederebbe il summenzionato sondaggio per sottrarre dati personali, ma non solo. Spesso, al termine del questionario, si verrebbe instradati su siti di escort, sottoposti all’installazione coatta di estensioni per il browser, iscritti a servizi a pagamento, o derubati dei propri dati finanziari.
Per cautelarsi da tale attacco, la soluzione prevede di attenzionare l’url del sito di atterraggio proposto (sul quale viene richiesto di far click), dacché spesso termina con particolari estensioni (.top, .win, .money) e comprende specifici termini (gratis, regalo, coupon) che servono a ingolosire la potenziale vittima. Inoltre, andrebbe fatto un confronto col sito ufficiale, controllandone la corrispondenza dell’indirizzo e la presenza di eventuali riferimenti alla promo menzionata nel messaggio ricevuto: infine, per principio, si dovrebbe diffidare per antonomasia di quei portali che, per un qualche motivo, si dimostrano sospetti richiedendo in modo insistente l’inserimento di dati finanziari e personali.