Una truffa di phishing Citibank tenta di estrarre informazioni personali
Ancora un'altra truffa di phishing rivolta ai clienti Citibank stava facendo il giro di recente. E 'stato scoperto da un ricercatore che va per la maniglia Twitter MalwareHunterTeam, e le notizie cybersecurity sito BleepingComputer segnalato anche su di esso. MalwareHunterTeam ha annunciato su Twitter che la pagina è stata ora rimossa, ma esaminare la truffa potrebbe ancora essere utile, perché ci darà un'idea delle tecniche intelligenti che i phisher usano oggi e può anche mostrarci che tipo di errori hanno rendere. C'erano molte funzioni intelligenti e alcuni errori in questa particolare campagna.
Sfortunatamente, non sappiamo chi ha organizzato l'attacco e non abbiamo idea di che tipo di trucchi di ingegneria sociale hanno usato per attirare le vittime sulla pagina di phishing. Molto probabilmente, la truffa inizia con un'email, ma in passato sono stati utilizzati anche altri trucchi. Quello che sappiamo è che la pagina di phishing era ospitata su update-citi [.] Com e che sembrava abbastanza convincente.
Table of Contents
Una campagna di phishing che raccoglie moltissime informazioni personali
Gli screenshot che MalwareHunterTeam ha condiviso su Twitter mostrano che le persone che si sono innamorate della truffa hanno attraversato parecchi passi. Innanzitutto, ovviamente, è la pagina di accesso falsa che chiede alla vittima il nome utente e la password sul proprio conto bancario. Quando le credenziali di accesso vengono consegnate, tuttavia, la pagina dannosa non smette di richiedere informazioni.
Alla vittima viene chiesto di compilare un modulo con nome, data di nascita, indirizzo fisico e le ultime quattro cifre del proprio numero di previdenza sociale. Successivamente, devono inserire i dettagli della loro carta bancaria in un altro modulo. Una volta fatto, la pagina dice loro che sta cercando di autenticarli, un processo che potrebbe richiedere fino a un minuto.
In realtà, nessuno è abbastanza sicuro di ciò che sta accadendo durante quel periodo, ma i ricercatori ipotizzano che mentre la vittima è in attesa di essere "autenticata", i truffatori stanno cercando di utilizzare le credenziali di accesso fornite per accedere al proprio account. Naturalmente, non possono immediatamente compromettere gli account dei clienti che hanno abilitato l' autenticazione a due fattori (2FA), ma ciò non impedirà loro di provare.
Citibank rileva il tentativo di accesso e la vittima riceve un PIN una tantum (OTP) come SMS. Dopo circa un minuto, la pagina di phishing richiede l'OTP, proprio come Citibank. Poiché pensano di effettuare l'accesso nel posto giusto, il cliente lo consegna e viene reindirizzato al vero sito Web Citibank. Nel frattempo, i phisher dispongono di tutte le informazioni necessarie per compromettere l'account dell'utente.
Le caratteristiche intelligenti
La cosa più notevole di questa campagna è il fatto che tenta di aggirare il sistema 2FA di Citibank. L'autenticazione a due fattori è spesso considerata l'unica speranza dell'utente in uno scenario di phishing, ma in questo caso i truffatori sono riusciti a negoziare in modo abbastanza convincente.
Hanno anche fatto sembrare la pagina di phishing un vero affare. I loghi e i caratteri sembrano autentici e il layout è abbastanza simile al portale online di Citibank. I phisher hanno anche installato un certificato SSL sulla pagina, il che significa che i browser hanno visualizzato l'icona di blocco nella barra degli indirizzi. Per anni, il lucchetto è stato inaffidabile come segno della legittimità di un sito Web, ma alcune persone continuano a pensare che possa garantire la loro sicurezza.
Come puoi vedere, l'equipaggio di phishing che ha lanciato l'attacco ha deciso di non fermarsi ai dati di accesso e di chiedere alle vittime altri dettagli personali e finanziari. Ciò significa che anche dopo che il cliente si è reso conto di essere stato truffato e ha protetto il proprio account, i phisher disporranno comunque di informazioni sufficienti per eseguire il furto di identità.
Va detto, tuttavia, che questa strategia "in per un centesimo, in per una sterlina" potrebbe ritorcersi contro se la potenziale vittima è più attenta a chi forniscono i propri dati.
Gli errori
Il fatto che non sappiamo come inizia l'attacco effettivo significa che non abbiamo l'intera configurazione di ingegneria sociale. Qualunque cosa sia, tuttavia, è improbabile che Citibank richieda le informazioni personali dei clienti esistenti ed è persino meno probabile che richiedano i dettagli delle carte di credito emesse. Se lo tieni a mente, hai maggiori possibilità di capire che qualcosa non va e fare clic sul pulsante "Chiudi" prima che sia troppo tardi.
Gli utenti più attenti noteranno anche gli errori grammaticali e tipografici che possono essere visti su quasi ogni pagina. È ironico il modo in cui i truffatori continuano a dedicare sempre più tempo e sforzi al lato tecnico delle loro campagne, eppure non sembrano disposti a investire in alcune lezioni di grammatica. Il livello di inglese scritto del phisher medio è così basso che errori di battitura e frasi scomode ora costituiscono un indicatore abbastanza affidabile di una truffa. Tuttavia, non sono affidabili come l'URL.
In effetti, ogni attacco di phishing riuscito è prevenibile con un po 'più di attenzione alla barra degli indirizzi. Molte persone si sono già insegnate a cercare l'icona del lucchetto verde, ma non sembra prestare attenzione al dominio stesso. I phisher hanno una tattica chiamata typosquatting, che prevede l'uso di domini che sembrano abbastanza simili alla cosa reale, ma anche questo non sarà abbastanza per ingannarti se sei cauto.
Il phishing è una semplice forma di crimine informatico e proteggersi non implica strumenti o tecniche particolarmente complessi. Alla fine, stare attenti e prendersi un secondo per assicurarsi che tutto sia a posto potrebbe significare la differenza tra la divulgazione dei dati e la loro sicurezza.
