Phishing Italiano N26 The Mobile Bank

Phishing ai danni di N26L’introduzione della nuova direttiva europea sui servizi di pagamento digitali, nota con la sigla PSD2, è un veicolo di attacco molto importante per i Phisher! Infatti abbiamo già rilevato diverse campagne di Phishing ai danni di Poste Italiane o Intesa San Paolo che falsificano una comunicazione informativa dell’istituto bancario per carpire informazioni sensibili degli utenti.

Ma è anche un veicolo per colpire nuovi enti che fino ad ora non avevano mai ricevuto, almeno in Italia, attacchi di Phishing! Infatti in soli tre giorni abbiamo rilevato dodici distinte campagne di phishing ai danni di N26 GmbH in lingua Italiana.

L’attacco è veicolato inizialmente tramite una eMail priva di errori grammaticali, caratteristica comune di tante altre comunicazioni di phishing, ed inoltre presenta un layout analogo alle comunicazioni ufficiali ben realizzato.

Non manca però nella eMail una caratteristica fondamentale di tante campagne di Phishing, la sollecitudine ad effettuare un’operazione. L’utente viene infatti informato che ha a disposizione solamente 60 minuti per confermare la titolarità del conto.

Selezionando il collegamento l’utente viene indirizzato ad un sito creato Ad Hoc (esempio: appn26-datiimpostazioni[.]it) in cui è invitato a fornire le seguenti informazioni:

  • Indirizzo eMail;
  • Password dell’account N26;
  • Numero di Telefono;
  • PIN;
  • Token della Carta;
  • Token ricevuto via SMS.

Quest’ultimo presuppone che il Phisher controlli in tempo reale le credenziali carpite ed effettua in prima persone l’accesso al conto N26 della vittima e richiede all’utente il token ricevuto via SMS per operare sul conto in totale libertà.

Di seguito vi lasciamo una galleria con gli screenshot delle diverse pagine web che compone il kit di Phishing ai danni di N26 GmbH e uno screenshot delle diverse eMail che abbiamo ricevuto nelle ultime 72ore.

Infine ricordiamo agli utenti di prestare la massima attenzione e di non fornire mai dati confidenziali a seguito della ricezione di una eMail, un SMS o di una chiamata.