Prima campagna di phishing ai danni di Klarna rilevata in Italia

Venerdì 21 novembre il team anti-frode D3Lab ha identificato la prima campagna di phishing in lingua italiana rivolta agli utenti Klarna. L’attacco viene veicolato tramite e-mail e riproduce una comunicazione che informa la vittima della sospensione di alcune funzionalità dell’account a causa di un presunto pagamento non più valido. Il messaggio invita l’utente a verificare la propria identità attraverso un accesso immediato al profilo.

La dinamica dell’attacco

L’obiettivo della campagna è il completo furto dell’account Klarna. La procedura fraudolenta è strutturata in più fasi, tutte accurate nel riprodurre l’esperienza di accesso reale. La vittima viene dapprima invitata a inserire un recapito, come il numero di telefono o l’indirizzo e-mail. Successivamente viene richiesta la password e, come ultima fase, il codice OTP generato da Klarna e inviato alla vittima tramite SMS. Tale modalità lascia presupporre la presenza di un criminale operante in real time, che interagendo con la voittima ha quindi modo di usare con profitto il token OTP prima della sua scadenza.

I criminali intercettano il codice in tempo reale, sfruttando così l’autenticazione a due fattori per completare l’accesso al conto. Questo consente agli attori malevoli di assumere pieno controllo dell’account, con potenziali conseguenze economiche e ulteriori tentativi di frode.

Analisi delle pagine di phishing

Le pagine utilizzate in questa campagna replicano con buona fedeltà l’interfaccia grafica del portale Klarna, presentando colori, layout e riferimenti testuali coerenti con la versione legittima.

Schermata di accesso fraudolenta

Nella prima pagina viene richiesto di inserire un numero di telefono o un indirizzo e-mail. La struttura della schermata, con i riferimenti ai Termini di utilizzo e all’Informativa sulla privacy, è progettata per aumentare la credibilità della pagina e ridurre i sospetti dell’utente.

Schermata del sito di phishing che imita la pagina di login di Klarna con campo per numero di telefono o email

Richiesta del codice OTP

Dopo aver fornito il recapito, la vittima viene reindirizzata alla pagina dedicata alla verifica tramite SMS. La schermata comunica che il codice è stato inviato e che dovrebbe essere ricevuto entro venti secondi, simulando il comportamento del sistema di sicurezza di Klarna.

Il dominio presente nella barra del browser, kil3kal[.]info, è uno degli indicatori di compromissione individuati durante l’analisi.

Schermata della pagina di phishing Klarna che richiede il codice SMS OTP inviato alla vittima

Indicatori di compromissione

Durante l’analisi sono stati identificati diversi IoC legati all’infrastruttura utilizzata per ospitare le pagine di phishing. Le URL si appoggiano a domini temporanei o compromessi, tipici delle campagne costruite tramite kit prefabbricati.

https://interac[.]es/components/klis[.]php
https://www[.]sma2ll[.]pro/jdk[.]php
https://kil3kal[.]info/klaro
https://kil3kal[.]info/klaro/index2[.]php

Conclusioni

Questa rappresenta la prima campagna di phishing in lingua italiana rilevata da D3Lab ai danni di Klarna. L’accuratezza con cui è stato replicato il processo di autenticazione e la capacità di intercettare il codice OTP rendono particolarmente insidioso l’attacco, aumentando significativamente il rischio di compromissione dell’account delle vittime.

Il team di D3Lab mantiene attivo il monitoraggio del brand e continuerà a segnalare tempestivamente eventuali nuove evoluzioni o varianti operative.