Non è beneficenza, è furto d’identità: i retroscena del clone Caritas intercettato da D3Lab

,

Il Threat Intelligence Team di D3Lab, grazie al servizio di Brand Monitor ha intercettato un pericoloso clone malevolo che punta a truffare i cittadini proponendosi come la Caritas Italiana. Nel panorama del cybercrime, si tratta di una delle tattiche più spregevoli: lo sciacallaggio digitale, ovvero lo sfruttamento della fiducia riposta in istituzioni caritatevoli per colpire le fasce più vulnerabili della popolazione.

La Caritas Italiana è l’organismo pastorale della Conferenza Episcopale Italiana (CEI) che promuove la testimonianza della carità, sostenendo e coordinando oltre 200 Caritas diocesane. Si dedica ad aiutare i poveri e gli emarginati, promuovere il volontariato, sensibilizzare la comunità sui bisogni sociali e intervenire in emergenze nazionali e internazionale.

Profilazione ed Ingegneria Sociale

Come sopra riportato, il sito fraudolendo è stato individuato attraverso il servizio di Brand Monitor e non è al momento noto il vettore di attacco ma è ipotizzabile che attraverso un link contenuto in una email o via sms gli utenti raggiungano la home page del sito fraudolento dove viene promessa una falsa “Assistenza Finanziaria di €”. In questa fase il portale richiede l’inserimento del numero di telefono e della città di residenza della vittima così da fargli credere di trovarsi a far fronte ad un’operazione lecita.

Esfiltrazione Documenti

Il cuore dell’attacco risiede proprio nel furto d’identità, suddiviso in 2 passaggi.

  • Caricamento Passaporto ( /front.php) : il sistema richiede una foto nitida del passaporto aperto, fornendo istruzioni precise su illuminazione e leggibilità in modo così da assicurarsi che i dati siano utilizzabili
  • Caricamento Codice Fiscale ( /selfie.php) : la pagina richiede la scansione della Tessera Sanitaria, prendendo sempre le stesse accortezze descritte precedentemente.

Validazione

Dopo il caricamento dei documenti, il file /done.php mostra una barra che simula l’elaborazione della domanda, invitando l’utente ad attendere 1-2 minuti.

Per massimizzare la portata della frode, il sito implementa anche un meccanismo di ingegneria sociale che sprona l’utente a invitare amici o familiari per accelerare la revisione della propria pratica, promettendo una maggiore priorità nell’invio dei fondi. A tal fine Il sistema fornisce un link di condivisione che utilizza una tecnica di offuscamento tramite url:

hxxps://cariitas[.]it/?pixel=123456789&ref=true.

Questo dominio contraffatto sfrutta il typosquatting ( doppia i nel nome ) per indurre i contatti della vittima a credere che il link provenga dal sito ufficiale della Caritas, amentandone la pericolosità vista la catena di condivisioni che si potrebbe venire a creare.

Phishing Finanziario

Una volta comunicata la falsa accettazione della domanda, l’utente visualizza un messaggio di conferma con un logo Paypal.

Cliccando sul logo, avviene il redirect verso la parte dedicata al furto delle credenziali.

Finto Portale Paypal

Una pagina di login contraffatta che imita il canale ufficiale di paypal per catturare email e password delle vittime.

Una volta inserite le credenziali, l’endpoint secure.php gestisce l’esfiltrazione finale trattenendo l’utente con un finto messaggio di elaborazione dati.

L’analisi di questo caso mette in luce non solo la complessità tecnica dei criminali, ma anche la loro totale assenza di scrupoli: colpire chi si trova in difficoltà, usando come esca la solidarietà, rappresenta uno dei punti più bassi dello sciacallaggio digitale.

In D3Lab crediamo che fare sicurezza significhi soprattutto fare informazione. Documentare e denunciare pubblicamente questi casi è il nostro modo di fornire agli utenti gli strumenti necessari per riconoscere le frodi online.

Come di consueto, invitiamo tutti gli utenti a prestare la massima attenzione. È fondamentale non cliccare su link sospetti ricevuti via SMS o e-mail e non divulgare mai le proprie informazioni sensibili (come username, password, indirizzo e-mail, telefono, etc.)

Questo articolo è redatto a scopo divulgativo e a tutela dei consumatori dal Cyber Threat Intelligence Team di D3Lab

IoC

  • hxxps://pass-caritas[.]online
  • hxxps://dl-caritas[.]online
  • hxxps://pass-caritas[.]online/front.php
  • hxxps://pass-caritas[.]online/selfie.php
  • hxxps://cariitas[.]it/?pixel=123456789&ref=true
  • hxxps://pass-caritas[.]online/done.php
  • hxxps://paypal[.]italy-help/
  • hxxps://paypal[.]italy-helo/secure.php

/da
Potrebbero interessarti
Il Phisher invia le credenziali delle vittime tramite Telegram
Nomi di dominio ingannevoli per distribuire falsa applicazione Whatsapp Android
Campagna di Phishing ai danni di Facile.it … e non solo
Phishing con presenza di files di log
pannello di gestione credenziali rubatePhishing: uso dell’OTP in real time a danno dei clienti Poste
Nexi nuovo ente soggetto al Phishing
Phishing: Analisi del clone e rivendita del kit su Telegram
Phishing ai danni di Subito.it