Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di una prima campagna di phishing ai danni di YAP.
YAP è l’app prepagata Mastercard, facente parte dei servizi Nexi, che permette di ricevere ed inviare denaro con la possibilità di pagare sia in tutti i negozi fisici sia online.
D3Lab’s Threat Intelligence Team in its daily activities of analyzing and countering online fraud has detected a phishing campaign sent via SMS to the Italian company Nexi customers (specialises in payment systems) that invited the user to install a malicious application via the official Google Play Store.
Users initially received a text message (smishing) prompting them to check their own Nexi profile to prevent a disabling of the account. If the user clicked on the phishing link, he would see a fake Nexi web page requesting him:
After completing the data entry the victim would saw a pop-up inviting him to download a new security application. The phishing website contained links to the Google Play Store, Huawei App Gallery, and Apple Store. But only the link to the Google Play Store was valid.
Continua a leggere
Since the end of 2019 there has been a change in bank phishing campaigns against Italian users who have introduced the combined use in a massive manner of methods until then used exclusively for targeted attacks, such as:
It also changes the criminal figure that is no longer foreign but Italian. A fundamental figure for a social engineering attack that is no longer only spread through digital technology but also by phone, the knowledge of the mother tongue becomes useful to best trick the victim and lead it step by step to perform unwanted actions.
As a result, phishing campaigns have also grown rapidly, reaching more than 800 separate campaigns per week to Italian banks or financial services.
Since May 2022 we have identified a new criminal actor which target customers of Nexi SpA, the PayTech of digital payments in Italy, distinguishable from the creation of domains created Ad Hoc very faithful to the original (usually uses different TLDs but the domain uniquely contains the word “Nexi”, ex Nexi[.]shop, Nexi[.]club, etc) and a Phishing SMS full of information and details.
Continua a leggereDalla fine del 2019 vi è stato un repentino cambiamento delle campagne di phishing bancario ai danni degli utenti Italiani che hanno introdotto l’utilizzo combinato in maniera massiva di metodiche fino ad allora utilizzate esclusivamente per attacchi mirati, quali:
Cambia inoltre la figura criminale che non è più straniera ma italiana. Figura fondamentale per un attacco di ingegneria sociale che non viene più solamente diffuso tramite tecnologia digitale ma anche telefonicamente, la conoscenza della madrelingua diventa utile per raggirare al meglio la vittima e condurla step by step ad eseguire azioni indesiderate.
Conseguentemente son cresciute anche repentinamente le campagne di phishing, raggiungendo anche più di 800 distinte campagne a settimana verso istituti di credito o servizi finanziari italiani.
Dal mese di Maggio 2022 abbiamo identificato un nuovo attore criminale atto a colpire i clienti di Nexi SpA, la PayTech dei pagamenti digitali in Italia, distinguibile dalla creazione di domini creati Ad Hoc molto fedeli all’originale (usualmente sfrutta TLD differenti ma il dominio contiene univocamente la parola “nexi”, ex nexi[.]shop, nexi[.]club, etc) e un SMS di Phishing ricco di informazioni e dettagli.
Continua a leggere
Da quando, il 10 novembre 2017, Nexi è stata creata i criminali si sono immediatamente mobilitati e già il 14 novembre D3Lab rilevava un primo phishing facente uso del brand/logo del nuovo ente.
Nelle settimane successive molti utenti Twitter ci hanno contattato richiedendo informazioni riguardo un sms ricevuto avente il seguente testo “Servizio SMS di spesa attivato“.
Al momento D3Lab non ha alcuna forma di collaborazione attiva con Nexi, non abbiamo quindi conoscenza delle modalità e procedure operative dell’ente.
Alle prime richieste abbiamo cercato di rispondere con logica:
“Nexi è la nuova società/servizio che gestisce le transazione con carte di credito per alcune banche (Popolare di Cremona, Popolare di Intra, Banca Popolare di Lecco, Popolare di Lodi, Banca Popolare di Luino e Varese, Popolare di Verona, l’elenco potrebbe non essere esaustivo). Presumo lei possa essere cliente di una delle banche coinvolte ed avere una loro carta di credito per la quale hanno attivato i servizi di sicurezza (sms al pagamento o prelievo, ecc…) L’sms da lei ricevuto non presenta link, quindi non è pericoloso. Saluti”
“Nexi è il nuovo servizio nato da CartaSi per la gestione delle carte di credito. Se l’sms non contiene link non c’è da allarmarsi e si può supporre che sia solo una notifica con cui Nexi avvisa il titolare di carta di credito CartaSì di aver attivato su di essa il servizio SMS che vi avvisa quando la usate per un pagamento.”
Con sorpresa gli utenti a cui fornivamo questa spiegazione ci rispondevano di non essere possessori di carte di credito CartaSì di conti correnti presso gli istituti del Gruppo ICBPI (Popolare di Cremona, Popolare di Intra, Banca Popolare di Lecco, Popolare di Lodi, Banca Popolare di Luino e Varese, Popolare di Verona).
Quindi al fine di poter dare un’informazione il più corretta possibile agli utenti che ci contattavano il 26 dicembre scorso scrivevamo all’account Twitter ufficiale di Nexi richiedendo informazioni.
Essendo le richieste arrivate via Twitter abbiamo preferito veicolare il messaggio attraverso il medesimo canale, abbastanza certi che anche altri utenti avessero inoltrato le loro richieste verso tale destinatario, ipotizzando così che il social manager potesse avere una visione d’insieme del problema e dell’esigenza degli utenti di ricevere risposte.
Al momento non abbiamo ricevuto nessuna risposta.
Invitiamo Nexi a dare maggior evidenza al pubblico delle proprie modalità di comunicazione evitando in tal modo che eventuali lacune e spazi vuoti nella comunicazione possano essere abusati dai criminali per la realizzazione di frodi.
Venerdì 10 Novembre il CEO Paolo Bertoluzzo presentava alla stampa Nexi, la nuova azienda italiana che ha l’obiettivo di costruire, in partnership con le Banche, il futuro dei pagamenti digitali in Italia. Nexi nasce dall’esperienza di Cartasì e ICBPI (Popolare di Cremona, Popolare di Intra, Banca Popolare di Lecco, Popolare di Lodi, Banca Popolare di Luino e Varese, Popolare di Verona).
Dopo nemmeno 48h dalla presentazione di Nexi rileviamo la prima campagna di Phishing ai danni del marchio e degli utenti, una importante tempestività da parte dei Phisher a sottolineare ancora una volta come il Phishing sia ad oggi una frode online molto attiva ed in costante evoluzione.
Ricordiamo infatti che secondo il rapporto ClusIT 2017 cresce del 117% nell’ultimo anno la “guerra delle informazioni”, a quattro cifre l’incremento degli attacchi compiuti con tecniche di Phishing e Social Engineering (+1.166%). La sanità è il settore più colpito (+102%), con GdO (+70%), Finance e Banche (+64%) e Infrastrutture Critiche (+15%). Aumentano gli attacchi verso Europa e Asia.
L’attività illecita impostata dal Phisher ha come scopo l’acquisizione dei dati della Carta di Credito oltre a username, password e Codice Fiscale della vittima. Di seguito potete visionare uno screenshot integrale dell’intera pagina di Phishing.
