Nuove tecniche di phishing durante il lockdown

Ecco come i truffatori stanno sfruttando i problemi di consegna durante l’epidemia e come non farsi ingannare dai loro trucchi.

Sarebbe difficile trovare un ambito dell’attività umana che non sia stato toccato dalla pandemia da coronavirus, e i servizi di corriere espresso non fanno eccezione. I flussi dei trasporti tra paesi sono stati interrotti e c’è una carenza di aerei da carico dovuta al fatto che le persone e le aziende continuano a ordinare merci sia nazionali che dall’estero. La richiesta di alcuni articoli è addirittura aumentata.

Un aumento così importante della domanda sta causando l’allungamento dei tempi di transito. Di conseguenza, i clienti si stanno abituando a ricevere messaggi di scuse da parte dei corrieri che inviano uno stato aggiornato delle spedizioni. Recentemente, abbiamo osservato una serie di siti e di e-mail falsi che sembrano provenire da servizi di consegna e che sfruttano il tema coronavirus. I cybercriminali stanno usando sia stratagemmi già collaudati, sia nuovi schemi.

Spam con allegati dannosi

Gli spammer possono farsi passare per dipendenti del servizio di consegna per convincere le vittime ad aprire gli allegati dannosi delle e-mail. Il classico trucco consiste nel dire che per ricevere un pacco in arrivo, il destinatario deve prima leggere o confermare le informazioni presenti in un file allegato.

Ad esempio, in questa falsa e-mail di notifica di consegna scritta in un inglese sgrammaticato si legge che un pacco non può essere consegnato a causa della pandemia, quindi il destinatario deve recarsi in magazzino e ritirarlo di persona.

L’indirizzo del magazzino e le altre informazioni si trovano nell’allegato, naturalmente: allegato che, se aperto, installa una backdoor Remcos sul computer. I cybercriminali possono quindi aggiungere il PC a una botnet, oppure possono rubare dati o installare un altro malware.

Falsa notifica di consegna

Gli autori di un’altra falsa e-mail di consegna utilizzano un trucco simile, sostenendo che l’azienda non è stata in grado di consegnare il pacco a causa di un errore di etichettatura. Alla vittima viene chiesto di confermare le informazioni contenute nell’allegato, che in realtà contiene un altro membro della famiglia Remcos.

Questi cybercriminali si fanno passare per un corriere espresso, ma l’indirizzo li tradisce.

A volte gli spammer inseriscono nell’email delle immagini dei documenti per ottenere maggiore credibilità. Nell’esempio seguente, i truffatori hanno aggiunto una piccola immagine al testo dell’e-mail. Sembra una ricevuta, ma è troppo piccola per essere letta e il formato non cambia quando ci si clicca sopra, il che spinge il destinatario ad aprire l’allegato dannoso, il cui nome contiene “.jpg”.

Se il cliente dell’email del destinatario non visualizza l’estensione reale del file, potrebbe confondere tale allegato con l’immagine. Si tratta in realtà di un file ACE eseguibile contenente il programma spyware Noon.

Per mettere fretta alla vittima, i cybercriminali dicono di aver bisogno delle informazioni mancanti con urgenza, in modo da poter consegnare il pacco prima del lockdown.

E-mail di un falso servizio di consegna contenente un allegato dalla doppia estensione.

Un altro argomento a noi già noto che riguarda le e-mail dannose ma che è particolarmente rilevante nel contesto attuale, è quello dei ritardi nella consegna. Lo scenario è altamente plausibile: i cybercriminali indicano alla vittima un allegato che contiene il Trojan Bsymem che, se eseguito, consente loro di prendere il controllo del dispositivo e il furto di dati. Nella parte inferiore dell’e-mail si legge che il messaggio è stato analizzato da una soluzione di sicurezza per posta elettronica e che non contiene file o link dannosi, un’affermazione che mira a tranquillizzare il destinatario, offrendogli un falso senso di sicurezza.

E-mail falsa inerente a fantomatici ritardi nella consegna dovuti al COVID-19.

Molti spammer inseriscono semplicemente un riferimento al COVID-19 nei loro abituali template, ma alcuni si concentrano specificamente sulla quarantena e sulla rapida diffusione della pandemia.

Per esempio, in questo caso, il governo avrebbe vietato l’importazione di qualsiasi tipo di merce nel paese in questione, quindi il pacco sarebbe stato restituito al mittente.

I cybercriminali affermano che il goberno abbia vietato l’importazione di merci.

L’allegato contiene presumibilmente un numero di tracking dell’ordine per richiedere una nuova spedizione dopo che le restrizioni sanitarie relative al coronavirus si saranno allentate. Aprendo il file, tuttavia, si rischia di installare la backdoor Androm, che consente agli hacker di ottenere l’accesso al computer da remoto.

Phishing

Anche i cybercriminali specializzati in attacchi di phishing approfittano del caos nell’ambito delle consegne. Abbiamo individuato copie altamente credibili di siti web legittimi e pagine false per la tracciabilità delle spedizioni. Tutti, naturalmente, hanno menzionato il coronavirus.

Ad esempio, i phisher che prendono di mira gli account dei clienti di un servizio di consegna hanno replicato in dettaglio la homepage ufficiale dell’azienda, comprese le ultime notizie sulla pandemia.

Sito ufficiale (sulla sinistra) e pagina di phishing (sulla destra) sembrano praticamente identiche.

Non meno dettagliato è quest’altro sito web di servizi di consegna, che menziona anche le ultime notizie sul coronavirus.

Pagina di phishing somigliante in tutto e per tutto al sito di un servizio di spedizioni.

Gli autori di questo falso portale per la tracciabilità dei pacchi hanno aggiunto COVID-19 alla linea del copyright. La pagina contiene poche altre informazioni: un modulo per l’inserimento delle credenziali e una lista di servizi e-mail “partner”. Inutile dire che l’inserimento delle credenziali porta questi dati direttamente nelle mani dei cybercriminali e il destino del pacco rimarrà ignoto.

Falsa pagina di tracciabilità delle spedizioni.

Come non abboccare all’amo

Con la pandemia e il gran numero di ritardi reali nelle spedizioni, i siti e le e-mail contraffatti hanno buone possibilità di successo, soprattutto se si aspetta davvero un pacco o se, ad esempio, i dettagli della spedizione sono stati inviati all’e-mail di lavoro e si ha motivo di pensare che un collega possa aver effettuato l’ordine. Per evitare di essere coinvolti in questi attacchi di phishing durante il lockdown per coronavirus:

Analizzate attentamente l’indirizzo e-mail del mittente. Se il messaggio proviene da un servizio di posta elettronica gratuito o contiene un insieme di caratteri senza significato nel nome della casella di posta, molto probabilmente è falso. Tenete presente, però, che è possibile falsificare l’indirizzo del mittente;

Fate attenzione al testo. Una grande azienda non invierà mai e-mail con testo formattato in modo scorretto e con una pessima grammatica;

Non aprite gli allegati presenti nelle e-mail dei servizi di consegna, soprattutto se il mittente insiste. Entrate piuttosto invece nel vostro account personale sul sito web del corriere, oppure inserite manualmente l’indirizzo del servizio nel browser per verificare il numero di tracciabilità. Lo stesso vale se avete ricevuto un’e-mail che vi invita a cliccare su un link;

State particolarmente in guardia se un’e-mail fa riferimento al coronavirus. I cybercriminali sfruttano gli argomenti di attualità per attirare l’attenzione, quindi non bisogna mai affrettarsi a rispondere;

Installate una soluzione di sicurezza affidabile che rilevi gli allegati dannosi e blocchi i siti web di phishing.

Consigli