Gang criminali all’assalto dei corrieri: il boom del phishing contro GLS

In D3Lab crediamo che ogni servizio, erogato da qualsiasi società, che richieda un login e renda plausibile la richiesta di dati personali e finanziari possa risultare di interesse per i criminali. Non solo furti di identità, abuso di carte di credito, ma anche abuso account compromessi su servizi di vendita dedicati ai privati, locazione e vendita case e alloggi, così come sistemazione vacanze.

In questo panorama anche i corrieri, i servizi di consegna merci, possono attrarre l’attenzione dei criminali. In questo articolo ci occuperemo dell’impennata di campagne di phishing registrate dal nostro team anti frode a danno di GLS Italia nell’arco degli ultimi mesi.

Nei monitoraggi svolti da D3Lab nell’ambito del phishing con target italiano le campagne di phishing a danno dei servizi di consegna non rappresentano in alcun modo una novità, con le prime risalenti al 2013. Dopo una flessione pronunciata seguita al picco nel 2014 si ebbe l’esplosione del fenomeno in concomitanza con il lock down dell’emergenza Covid, quando gli italiani bloccati in casa si rivolsero massicciamente agli acquisti online.

Il fenomeno non riguarda ovviamente solo il panorama italiano, i diversi servizi fanno infatti riferimento a gruppi operanti world wide ed è possibile identificare campagne a loro danno in moltissime lingue.

Tuttavia ha destato sorpresa l’impennata nel trend delle campagne di phishing a danno di GLS che, pur partite in sordina nei primi 4 mesi, ha visto un’impennata dallo scorso maggio, con numeri che passano dai 5 di Aprile, ai 160 di Maggio ai 325 al 24 Giugno, giorno di stesura del presente articolo.

La crescita non risulta essere concomitante a specifici eventi societari o a campagne di marketing di ampio risalto ed in contro tendenza rispetto all’andamento delle campagne subite da altri corrieri.

Le campagne sono usualmente finalizzate a carpire i dati di carta di credito delle vittime e sono veicolati tramite email

o sms indirizzati a numeri di telefono raccolti online dai criminali perché pubblicamente disponibili o presenti in data leak/breach condivisi negli ambienti underground.

Entrambi i veicoli di infezione ripropongono spesso domini creati ad hoc con:

• la tecnica del typosquatting, es. agsgis-it, it-itglsarea, paccoit-itpgls, gls-grouped;
• l’uso di sottodomini targettizzanti GLS, es. gls.italytpatai.com, gls.it-postxd.com;
• l’uso del nome dominio legittimo abbinato alla moltitudine di TLD disponibili, es. gls-group.works, gls-group.club.

La frode si svolge generalmente in tre passaggi:

1) I criminali cercano di ingannare le vittime segnalando il mancato recapito di un pacco

2) Richiedono la verifica delle informazioni anagrafiche: nome, cognome, indirizzo, numero di telefono ed indirizzo email

3) Richiedendo i dati della carta di credito per ottemperare ad un piccola somma al fine di regolarizzare e completare la conegna.

I dati verranno quindi raccolti dai criminali e processati con modalità differenti, quelli anagrafici e di contatto saranno utilizzabili per successive frodi, quelli delle carte di credito verranno usati per il pagamento di servizi e prodotti.

E’ opportuno rammentare che, sebbene il phishing sia sovente considerato una frode banale, la realtà evidenzia che l’attività è fortemente remunerativa per le organizzazioni criminali ed il trend in forte cresceta lo dimostra chiaramente.

Le simulazioni di phishing condotte da D3Lab a favore dei propri clienti, realizzate con metodiche apprese dai nostri team proprio analizzando giornalmente questa tipologia di frodi, palesano come anche personale aziendale formato con specifiche attività di awareness possa cadere vittima di truffe ben congegnate. Per gli utenti del web, l’utenza customers delle diverse società, spesso a digiuno di tale utile formazione, non cadere vittima dei criminali non è sempre un fatto scontato.

Si raccomanda la massima attenzione agli utenti.