Oggi vi parleremo di una finta app di autenticazione che prende di mira le carte di credito.
Un gruppo di cyber criminali hanno fatto il salto di livello, inviando messaggi truffa scritti benissimo e app pubblicate sul Play Store per campagne raffinatissime.
I cybercriminali sono diventati molto abili, tanto da mettere in atto una campagna molto raffinata tecnicamente contro i clienti di Nexi SpA.
Nell'articolo
La Truffa a Nexi – chi colpisce
La tecnica ha raggiunto un livello talmente alto che ha stupito persino d3Lab, la società di cybersicurezza toscana che ha scoperto la campagna e ha subito segnalato a Google l’app malevola utilizzata dai cybercriminali.
Nella maggior parte dei casi queste campagne sono generalizzate e a largo raggio, la tecnica utilizzata per indurre gli utenti a scaricare l’app infetta o visitare il sito pericoloso è quella di tradurre i messaggi in modo automatico, con molti errori di grammatica e ripetizioni.
In questa campagna invece, siamo di fronte ad un lavoro detto in gergo tecnico “di sartoria”, i cybercriminali hanno creato una campagna personalizzata per i clienti Nexi facendo persino passare l’app infetta sul Play Store di Google.
[PAZZESCO SE CI PENSATE]
Come funziona la truffa che coinvolge l’APP NEXI?
Alla base il meccanismo è sempre quello classico del phishing in aggiunta dell’app infetta….tutto fatto veramente bene.
Il messaggio della finta campagna di phishing di NEXI!
La campagna di phishing parte come spiegato prima da un SMS molto lungo….la cosa incredibile senza neanche un errore e in perfetto italiano, vediamo il contenuto:
NEXI: La tua utenza é stata disabilitata visto che non abbiamo ricevuto nessuna risposta alla nostra richiesta di verificare il tuo profilo online.
Per risolvere subito questo problema e per riabilitare l’uso della tua carta, ti preghiamo di effettuare subito l’aggiornamento dei dati online, altrimenti, la tua utenza verrà bloccata temporaneamente per accertamenti fiscali.
La verifica del tuo profilo può essere effettuata cliccando sul link sottostante: https://nexi[.]club/s
Ci scusiamo per gli eventuali disagi creati .
Reparto Sicurezza Nexi
Se analizziamo il messaggio possiamo vedere che il contenuto è sempre lo stesso:
- E’ ancora presente il meccanismo dell’insistenza “con minaccia”;
- E’ presente un link all’interno del messaggio.
Il sito fake di phishing della finta Campagna NEXI
Se la vittima abbocca facendo click sul link, viene reindirizzato su un sito fike che imita molto bene ovviamente quello reale di “Nexi SpA”.
L’url del sito originale lo si riconosce principalmente dal TLD, cioè dalla sigla dopo il (punto): https://www.nexi.it
Quello invece di phishing portano a nexi[.]shop, nexi[.]club
Quando la vittima accede al sito fake viene spinta a scaricare una app per la SCA, (Strong Customer Authentication), obbligatoria da quest’anno per tutte le app delle banche online e delle carte di pagamento.
Qual è l’App Nexi pericolosa?
L’app pericolosa che viene fatta scaricare ha due possibili nomi: PSD2 Protector o PSD2 Auth Protector
La cosa pazzesca e che ci fa capire quanto è stata studiata questa campagna (e che stiamo parlando di professionisti), è che se cerchiamo su Google tutti e due i nomi otteniamo tra i primi risultati proprio il sito Web ufficiale quello di Nexi.
I cybercriminali hanno utilizzato anche tecniche SEO per ottimizzare i motori di ricerca per scegliere il nome dell’app.
Come funziona l’App pericolosa PSD2 Protector?
L’app per essere installata chiede numerose autorizzazioni all’utente e spiega molto bene il “falso” motivo per cui le chiede, vediamo nel dettaglio:
- PSD2 Protector ha bisogno di questa autorizzazione per rendere i pagamenti più fluidi e per garantire che non venga effettuato l’accesso al codice di sicurezza da parte di terzi.
Il problema è che quando l’app è installata e funzionante è in grado di carpire i codici OTP inviati al telefono da inserire nei siti come conferma per i pagamenti… di conseguenza il cybercriminale che controlla l’app è in grado di fare dei pagamenti con la carta della vittima.
PSD2 Protector via da Google Play. Siamo al Sicuro? No!
L’app attualmente è stata eliminata da Google play, e possibile visualizzarla dopo una ricerca ma non è possibile scaricarla. Penserete: siamo al sicuro allora…
La risposta è no perché la scoperta di questa campagna è di un livello mai visto prima…è stata realizzata in modo impeccabile con un’altissima probabilità di riuscita, questo perché tutti i passaggi sono stati curati in modo estremamente preciso.
Si tratta quasi sicuramente di cybercriminali italiani e questo ci fa capire che questi malintenzionati hanno smesso di fare campagne low cost e ora puntano molto più in alto.
Resta informato sui canali online di Giorgio Perego!
Il canale Youtube dove potrai trovare diversa documentazione
Come sempre fatene buon uso facendo dei test su vostri device / computer, farli su device/computer non vostri è illegale.
Al prossimo articolo 😊
N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.
Leggi anche in materia di Phishing e truffe online
Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.
Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.
Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.