Il nuovo sistema messo in piedi dagli hacker è molto più raffinato e permette loro di sottrarci i soldi dalle carte scavalcando le nuove misure di sicurezza.
Il CSIRT della Presidenza del Consiglio dei Ministri, cioè il Computer Security Incident Response Team italiano, lancia un allarme specifico a tutti i possessori di carte Postepay: è in corso una nuova campagna phishing molto raffinata, finalizzata a sottrarre i dati di queste carte di debito.
Il tentativo di frode avviene tramite un SMS che contiene un link, che porta ad un sito Web contraffatto che imita molto bene quello di Poste Italiane e, alla fine della procedura, porta l’utente direttamente al vero sito di Poste. La scusa usata dagli hacker è quella della necessità di confermare i dati della carta Postepay dell’utente ma, in realtà, come sempre accade in questi casi i dati da confermare andranno dritti in mano agli hacker stessi che, e questa è la novità degli ultimi tempi, li useranno in tempo reale per prelevare denaro dalla carta tramite acquisti online o versamenti sui propri conti. Si tratta di un livello di sofisticazione ben superiore a quelli visti in passato, dovuto alla recente introduzione dell’obbligo del secondo fattore di autenticazione per molte transazioni.
Il finto messaggio che minaccia le Postepay
Tutto parte da un SMS di phishing (si tratta, quindi, di “Smishing“), nel quale si chiede all’utente di fare l’accesso al sito di Poste Italiane con le sue credenziali al fine di verificare i dati della carta, per non meglio precisati “motivi di sicurezza“. Il sito, però, è fake e i dati di accesso sono i primi ad essere rubati dagli hacker.
Poi, in una successiva schermata del sito contraffatto, viene chiesto numero di telefono e tutti i dati della carta Postepay e, a questo punto, inizia la parte più pericolosa. All’utente viene chiesto anche il codice OTP ricevuto tramite SMS: il sito dice che serve a confermare i dati della cara, ma in realtà da qualche parte nel mondo gli hacker stanno facendo una transazione.
Più di una, probabilmente, perché tramite un finto messaggio d’errore l’OTP viene chiesto diverse volte. Alla fine l’utente viene reindirizzato alla pagina di aiuto sul vero sito ufficiale di Poste Italiane, affinché non si accorga di nulla e creda che veramente la sua carta ha avuto un problema.
La svolta dell’OTP
Un tempo gli hacker si limitavano a creare siti contraffatti e a lanciare campagne email o SMS per inviare gli utenti a tali siti, ma non agivano in tempo reale. Adesso sì e un motivo c’è: dal primo gennaio 2021, infatti, è entrata in vigora la nuova normativa che impone agli istituti di credito l’adozione della cosiddetta “SCA“: Strong Customer Authentication.
Cioè autenticazione forte del cliente, un altro nome per descrivere la “2FA“, cioè la Two Factor Authentication o autenticazione a doppio fattore. Un meccanismo che serve per evitare transazioni illecite fatte con carte clonate oppure online con i dati di una carta che non si possiede realmente.
A causa della SCA, quindi, chi vuole prelevare del denaro senza il nostro permesso dalla nostra carta di credito dovrà inserire un codice che noi riceveremo via SMS, o all’interno dell’app della banca. Da qui la trovata degli hacker: ci chiedono di inserire l’OTP per confermare i dati della carta ma, in realtà, non stiamo facendo altro che confermare la loro transazione con i nostri soldi.