In sintesi
ACN/CSIRT Italia ha rilevato una campagna di phishing veicolata tramite SMS. Questa mira a ingannare le vittime per farle prenotare una presunta nuova consegna. L'obiettivo è farsi inserire dati personali e della carta di pagamento. Si raccomanda cautela contro comunicazioni inattese e la verifica della legittimità dei siti web.
Contesto
Il CSIRT Italia ha rilevato una campagna di phishing attiva che sfrutta il nome del “Corriere Bartolini”. La frode inizia con messaggi SMS che avvisano di una presunta consegna non andata a buon fine e invitano la vittima a riprogrammarla tramite un collegamento malevolo.
Cliccando sul collegamento, l'utente viene reindirizzato a una serie di pagine web fraudolente. Queste imitano graficamente il processo di verifica “non sei un robot”, la visualizzazione dei dettagli di una mancata consegna con un numero di tracking e una data limite, e poi richiedono l'aggiornamento dell'indirizzo.
Infine, viene presentata una pagina di “Pagamento Sicuro” dove si richiede una cifra esigua per la nuova consegna. Qui vengono estorti dati sensibili della carta di pagamento (nome titolare, numero, scadenza, CVV/CVC). L'importo basso è studiato per ridurre la vigilanza delle vittime, che potrebbero non richiedere ulteriori conferme bancarie per pagamenti modesti. Al termine, la vittima viene reindirizzata alla homepage legittima del corriere. La data di pubblicazione dell'alert è il 13/07/26.
Perché conta
Questa campagna di phishing è altamente rilevante per DPO e responsabili IT. Essa espone le organizzazioni e i loro clienti a significativi rischi di data breach, implicando la potenziale compromissione di dati personali e finanziari. Le aziende devono assicurarsi che i propri dipendenti siano adeguatamente formati per riconoscere tali minacce, in linea con i requisiti del GDPR (es. Art. 32 sulla sicurezza del trattamento) per prevenire violazioni che potrebbero richiedere notifiche al Garante (Art. 33, 34).
Inoltre, la minaccia di phishing rientra nelle preoccupazioni della Direttiva NIS2 e della ISO 27001, che richiedono l'adozione di misure robuste per la resilienza cibernetica e la gestione degli incidenti di sicurezza. La formazione del personale e l'implementazione di controlli tecnici e organizzativi efficaci sono cruciali per proteggere le informazioni e mantenere la fiducia dei clienti. La credibilità di un'organizzazione può essere intaccata se i suoi clienti subiscono frodi che sfruttano il suo brand.
Cosa fare
- Fornire formazione periodica ai dipendenti per il riconoscimento delle tecniche di phishing e smishing, insistendo sulla diffidenza verso comunicazioni inattese.
- Verificare sempre la legittimità dei siti web e dei domini prima di inserire dati personali o finanziari, digitando manualmente l'indirizzo dei portali ufficiali nel browser.
- Diffidare da richieste di pagamento urgenti o di importo esiguo legate a presunte consegne, scadenze ravvicinate o recuperi, specialmente se provenienti da comunicazioni non sollecitate.
- In caso di sospetto o di inserimento di dati su un sito fraudolento, contattare immediatamente il proprio istituto bancario per il blocco della carta e il monitoraggio delle transazioni.
- Valutare l'implementazione degli Indicatori di Compromissione (IoC) forniti dal CSIRT sui propri apparati di sicurezza per bloccare l'accesso a siti malevoli noti.
Cosa evitare
- Evitare di cliccare su collegamenti presenti in SMS o messaggi non sollecitati, anche se sembrano provenire da servizi noti.
- Non inserire mai dati personali o finanziari su siti web di cui non si è verificata con certezza l'autenticità e la legittimità.
- Non sottovalutare richieste di pagamento, anche se di importo minimo, se provengono da canali sospetti o con un senso di urgenza.
Implicazioni pratiche
Le organizzazioni devono affrontare il rischio che i propri dipendenti o clienti possano cadere vittime di campagne di smishing come questa, con conseguenti potenziali perdite di dati personali e finanziari. Ciò comporta implicazioni dirette sulla conformità normativa (GDPR, NIS2), la reputazione aziendale e la fiducia dei clienti. Un incidente potrebbe richiedere costose operazioni di risposta e notifica, oltre a potenziali sanzioni.
Azioni da fare
- Rafforzare la formazione sulla consapevolezza della sicurezza per tutti i dipendenti, con focus specifico su phishing e smishing.
- Implementare e aggiornare sistemi di sicurezza per il filtraggio di contenuti malevoli e il blocco degli Indicatori di Compromissione.
- Definire procedure chiare per la gestione degli incidenti di sicurezza, inclusa la risposta a potenziali violazioni di dati causate da frodi.
- Educare i clienti su come riconoscere le frodi e su come l'organizzazione gestisce le comunicazioni relative a consegne e pagamenti.
Errori da evitare
- Sottovalutare la necessità di una formazione continua e aggiornata sulla sicurezza informatica per il personale.
- Non implementare o non aggiornare regolarmente i sistemi di sicurezza con gli ultimi Indicatori di Compromissione forniti dalle autorità.
- Ignorare o ritardare la risposta a segnalazioni di tentativi di frode o incidenti di sicurezza.
Domande di self-assessment
- I nostri dipendenti sono adeguatamente formati per riconoscere e segnalare tentativi di phishing e smishing?
- Abbiamo implementato controlli tecnici per bloccare o segnalare l'accesso a siti malevoli noti (es. tramite IoC)?
- Esiste una procedura chiara per i nostri clienti per verificare l'autenticità delle comunicazioni aziendali relative a consegne o pagamenti?
- Qual è il nostro piano di risposta in caso di data breach o frode finanziaria derivante da una campagna di phishing che coinvolge i nostri dati o il nostro brand?
Riferimenti
Normativa nazionale: Regolamento UE 2016/679 (GDPR) Art. 32, Art. 33, Art. 34 · Direttiva NIS2 · ISO/IEC 27001
Leggi l'articolo originale su ACN / CSIRT Italia ↗
