Telefonate fraudolente contro le PMI in relazione con il cavallo di troia „Retefe“

16.02.2016 - Da inizio febbraio 2016 la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI, così come il Servizio nazionale di coordinazione per la lotta contro la criminalità su Internet SCOCI, riceve diversi annunci di telefonate fraudolente che mirano a perpetrare frodi ai danni degli utenti di portali e-banking.

Il trucco utilizzato è innovativo: i pirati informatici prendono contatto telefonicamente con PMI in Svizzera allo scopo di carpire, con pretsti di vario genere (p.es. per inviare una notifica di consegna di un pacchetto postale), un indirizzo di posta elettronica. Se riescono nel loro intento ottenendo un indirizzo, i criminali inviano in breve tempo una e-mail contenente un link verso un noto fornitore di servizi Cloud.

Il link può nascondere un file d’archivio (ZIP) contenente un documento JavaScript maligno o un programma eseguibile nocivo.
Questi generano dei cambiamenti a livello di sistema operativo dell’utente (più precisamente vengono modificate le configurazioni del proxy per Internet Explorer e Firefox e viene installata una Certificate Authority nell’archivio delle autorità di certificazione attendibili) permettendo agli aggressori di prendere il controllo del traffico da e verso i portali e-banking visitati dalla vittima.

Modus Operandi
Modus Operandi

Gli aggressori utilizzano numeri telefonici svizzeri per effettuare le telefonate fraudolente. Gli indirizzi e-mail utilizzati per l’invio del cavallo di troia assomigliano inoltre a nomi legittimi di aziende. Sono ad esempio stati osservati i seguenti nomi di dominio:

yurist-plus.com
betost-law.com
cva-swisskurier.com
advokaturburo.com
cva-swisskurier.com
grischamodellbau.com
steuershop.com
swiss-courier.com

 

Esempio di e-mail fraudolenta
Esempio di e-mail fraudolenta (in tedesco)

Vista l’infrastruttura tecnica e il codice maligno usato dagli aggressori, MELANI e SCOCI presumono che l'attacco sia relazionato a quelli sferrati lo scorso anno dal cavallo di troia “Retefe”.

MELANI e SCOCI consigliano quanto segue:

  • Diffidate dalle telefonate di persone che non conoscete
  • Siate prudenti quando le e-mail contengono dei link che non mostrano la destinazione (p.e. “Cliccate qui”), anche quando queste arrivano da indirizzi E-Mail conosciuti
  • Se dopo aver inserito le credenziali di accesso (password, codice mTAN/Token) nel portale e-banking dovesse apparire una schermata di errore, p.es. “Il sistema e-banking non è al momento disponibile”, contattate immediatamente la vostra banca
  • Se durante il processo di login dovessero comparire elementi sospetti (p.es. la visualizzazione di un contaminuti), contattate la vostra banca
  • Se siete vittima di una truffa, annunciate il caso a SCOCI tramite l'apposito formulario ed effettuate una denuncia alla Polizia Cantonale 

Per la sicurezza IT delle PMI, MELANI ha creato un portale apposito contenente i documenti seguenti:

Ulteriori informazioni riguardo “Retefe” sono disponibili ai seguenti indirizzi:

https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/eBanking_Trojaner_Retefe.html