Il Rapporto Clusit 2017 indica un forte aumento delle attività di Phishing nel nostro paese ed è quindi sempre più importante focalizzare l’attenzione di tutta la popolazione su questa attività di frode.

Le aziende devono prevedere attività di formazione per tutto il personale al fine di evitare la divulgazione di documenti riservati, diffusione di ransomware, movimentazioni bancarie illecite o qualsiasi altra attività che può fortemente destabilizzare l’andamento economico di una società.

Questo invito è maggiormente rimarcato per tutte le aziende che hanno un contatto diretto con il consumatore, attraverso i Call Center o Social Care, le quali non devono solamente prevenire un attacco diretto ma evitare che i propri clienti vengano truffati da attività di Phishing con loghi e marchi dell’azienda.

Il consumatore, ignaro del Phishing, ingenuamente penserà che l’addebito inconsueto sulla sua Carta di Credito sia stato eseguito dall’azienda vittima di Phishing e non da un team di Phisher. Creando un danno di immagine rilevante.

Il 22 Marzo abbiamo rilevato su Twitter un imbarazzante situazione del Social Care di TIM, il quale ha invitato un utente a visitare una eMail di Phishing perché la ritenevano lecita.

Lunedì 20 Marzo l’utente Damiano Achilli riceve via eMail la seguente comunicazione:

 

Insospettito da alcuni errori grammaticali decide di chiedere al supporto TIM una conferma, se l’eMail sia legittima o meno:

 

Il servizio clienti conferma la legittimità della comunicazione e l’utente procede a richiedere il rimborso compilando il modulo online.

La risposta del servizio clienti TIM è stata rimossa, ma conteneva quanto segue: “@Damiano_Achilli ciao, si confermiamo ? Buona giornata #TIM4U”.

Damiano fidandosi della risposta ricevuta, perderà 60€ che vengono illecitamente sottratti dalla sua Carta di Credito Prepagata. Si trattava palesemente di una attività di Phishing, con l’utilizzo della codifica base64 come abbiamo visto recentemente in un altro articolo.

Sfruttando Google Cache riusciamo a visualizzare la risposta, che potete vedere anche nel seguente screenshot:

Lo stesso Damiano ci ha inviato due screenshot che ha personalmente effettuato:

 

 

Al fine di dare maggiore evidenza ai dati sopra presentati abbiamo proceduto acquisendo la pagina di Twitter presente nella cache di Google attraverso Hashbot:

 

acquisizione via hashbot

da cui si rileva nuovamente il testo della risposta data dall’account TIM_Official

 

Una ulteriore forma di acquisizione attraverso terze parti è stata effettuata usando le funzionalità di archive.is e qui http://archive.is/7klQT potete vedere sia la pagina che lo screenshot, con la risposta di TIM_Official a Damiano in terza posizione.

Infine abbiamo acquisito il tutto anche con wireshark tramite la visualizzazione della cache di Google, senza fare uso di https.

file: risposta_cancellata_TIM_Official_a_Damiano_Achilli.pcap
sha256: 91b42e0609b76820e9283574c32f84ea3d726a3eb72b7efb0a057000aa96d799

Sfruttando l’opzione File > Export Objects> HTTP di wireshark è possibile estrapolare la pagina web ricevuta in risposta da Google (file packet_1230.txt, sha256 79da9bbbcc4a520fb97c3f7c73f9355ba9fbe913b60b047ca5dbff5f45e1cf60):

 

estrazione pagina da file pcap

 

risposta di TIM_Official all'utente

 

L’accaduto evidenzia quanto la formazione degli operatori destinati a supportare il consumatore (Call Center, Social Care, Personale di Filiale, ecc…) in materia di truffe e frodi sia necessaria a salvaguardia la sicurezza e dell’immagine delle società. La soluzione non passa certo per tweet cancellati.

Update 24 marzo 2017 – 14.37

Damiano, vittima della frode, ci ha raccontato di aver ricevuto notifica del pagamento effettuato dai criminali con la sua carta di credito, nella quale veniva indicato l’acquisto di servizi presso l’ISP francese AMEN.FR

58d14d48abdfa WWW.AMEN PARIS FR N. 654831

Amen.fr è una controllata di Dada Spa, società a cui fa capo pure l’italiana Register.it. E’ quindi presumibile che il criminale abbia usato la carta di credito della vittima per acquistare servizi web da riutilizzare in truffe future.

La TIM è doveroso indicare come la società, attraverso le pratiche burocratiche di rito, si sia impegnata a rimborsare Damiano attraverso i servizi da TIM lui acquistati. Tutto è bene ciò che finisce bene.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Rispondi