Hai ricevuto un SMS “…Per favore conferma le tue credenziali…” da PAC8632? Come altri messaggi di testo analizzati su questo sito, ad esempio “Abbiamo ricevuto correttamente la richiesta” (BNL) e “Abbiamo cercato di contattarti” (Euronics), anche in questo caso si tratta di un tentativo di phishing. Come facciamo sempre, diamo uno sguardo approfondito a questa tentata truffa SMiShing, in cui i malintenzionati si spacciano per PAC8632 ovvero, come vedremo, Amazon.
Altri articoli che potrebbero interessarti:
- Come scoprire se qualcuno sta spiando il tuo telefono
- Hai veramente bisogno di una VPN nel [current_date format=”Y”]
- Recensione Norton 360 – Il miglior antivirus del [current_date format=”Y”]?
Da diversi giorni, molti utenti stanno ricevendo un SMS sospetto sui propri smartphone, il testo (sempre con alcune variazioni) è più o meno il seguente:
*Nome*, Per favore conferma le tue credenziali per la consegna oggi, altrimenti il tuo pacco verra rispedito al mittente: i19.link/euDA8
Rispetto ai messaggi di altre truffe con la stessa dinamica, come il tentativo a nome MediaWorld, l’obiettivo di questa prima comunicazione impone una certa urgenza, c’è un pacco in consegna oggi, ma come stiamo per vedere, anche questa volta alla fine i truffatori provano a far leva su un premio da recapitare.
Da cosa si può intuire che l’SMS in questione sia un tentativo di phishing? Come altri messaggi della stessa serie (ovvero truffe SMiShing con dinamiche simili), il messaggio ha alcuni indizi rivelatori. Tanto per cominciare, il testo fa leva su un pacco in consegna in giornata. Devi ricevere qualcosa oggi? Se non stai aspettando nulla, è ovvio che l’SMS sia da ignorare a prescindere.
Poi ci sono altri piccoli dettagli a cui stare attenti, come la maiuscola di “Per favore” dopo la virgola e “verra” senza accento. Minuzie sicuramente, che però non vedresti mai da un’azienda seria.
Passiamo quindi al mittente, PAC8632. Questo nome dovrebbe risultare sconosciuto a chiunque, quindi chi si nasconderà mai dietro un nominativo così insolito? Come stai per vedere, cliccando il link si scoprirebbe che “in realtà” il messaggio è stato mandato da “Amazon”, ma ovviamente non è vero.
Vediamo cosa succede cliccando sul link contenuto nell’SMS “Per favore conferma le tue credenziali…” di PAC8632/Amazon.
SMS Phishing Amazon / PAC8632 – Un funnel verso il phishing
Cliccando sul link, cosa che come dico sempre NON BISOGNA ASSOLUTAMENTE FARE, la prima cosa da notare è l’indirizzo della pagina vera e propria:
https://www.premetiv.com/IT/IT_xxervk/?batchID=IT_Undeliv_Clickers_1_20k_6&dob=”Unkown&…
Il link è ben più lungo e contiene già tutti i nostri dettagli, che evidentemente vengono usati per compilare programmaticamente i campi che ci verranno propinati per arrivare al momento della truffa vera e propria.
Quindi, l’URL fornito nell’SMS in realtà è un redirect verso questo sito. Perché l’indirizzo è così importante? Come potrai vedere, questo URL non cambierà mai per tutta la procedura da seguire per “riscattare” il premio, nonostante ci verrà chiesto di accedere a siti diversi.
Il clone di Messenger
Il primissimo sito a cui accediamo è una riproduzione di Messenger di Facebook per smartphone. Provando sempre questi link da computer, la truffa è evidente sin da subito, ma il design potrebbe trarre in inganno gli utenti smartphone meno attenti. Dico meno attenti perché comunque in alto si vedeva la barra degli indirizzi del browser, con l’indirizzo non corrispondente, né ad Amazon, né a Messenger di Facebook, che in caso sarebbe proprio messenger.com/t/xxx (numeri al posto delle x).
Il testo che “ci verrà inviato” da Amazon è il seguente:
Ciao *nome*
Congratulazioni, hai vinto un iPhone 12!
Nell’ambito del programma di premi Amazon 2020
Sei stato selezionato come candidato perfetto
Clicca su questo link per ottenere il tuo iphone 12 www.amazon.it/2020promo
Ma come, il problema non era un pacco in consegna oggi? Adesso ho vinto un iPhone 12?
Passando con il mouse su quel link, potrai vedere che non indirizza al sito di Amazon, ma alla stessa pagina su cui già ti trovi.
La pagina duplicata di Amazon per la vincita del concorso
La pagina che caricherà cliccando sul link “verso” Amazon è la seguente:
Ti verrà chiesto di rispondere ad alcune domande a scelta multipla, la prima delle quali è confermare il tuo nome e cognome, città, indirizzo e altri dati personali generici (età, famiglia…).
In fondo alla schermata troverai anche un timer che indica che il tempo per participare alla promozione sta per scadere, tra l’altro in francese. Inutile dire che è solo per creare un senso di urgenza, perché potrai “partecipare” anche quando è a zero (che fortuna eh?).
Ancora più in basso, troverai diversi commenti da “Facebook” che confermano di aver ricevuto l’Apple iPhone 12. Inutile dire che sono finti, tant’è che cliccando sul nome o sulla foto profilo non succede nulla.
Dopo aver risposto alle domande, anche cliccando su qualsiasi opzione (pure quelle sbagliate), ti verrà chiesto di cliccare su alcuni pacchetti per vedere se hai vinto. Ma pensa, hai vinto veramente!
Adesso non rimane che da pagare 1 Euro per ricevere l’Apple iPhone 12 a casa!
Il pagamento tramite “Amazon” per finalizzare la truffa di phishing
L’ultima tappa di questa avventura è sempre una replica del sito Amazon, dove ti verrà chiesto di inserire i dati della tua carta di credito per il pagamento di 1 Euro di spedizione. Inutile dire, che la somma che verrà prelevata sarà ben più alta.
“Per favore conferma le tue credenziali…” SMS da PAC8632/Amazon – Conclusioni
Nel complesso questo tentativo di phishing a nome PAC8632 / Amazon, che inizia con l’SMS “Per favore conferma le tue credenziali…” rientra nella nuova serie di tentativi di SMiShing più sofisticati, che stiamo continuando a vedere qui su Stolas Informatica. Le dinamiche sono infatti esattamente uguali ad altri SMS di phishing, come quello a nome Euronics e uno a nome Annuncio/Unieuro, in circolazione sempre in questo periodo.
Partendo dal clone di Messenger, che ci rassicura mostrandoci un’app conosciuta e fidata, indirizzandoci quindi al sito di Amazon (solo all’apparenza), continuiamo a saltare da un sito all’altro. Questo ci tranquillizza abbastanza, perché solitamente le truffe di phishing avvengono tramite un’unica pagina.
Solo guardando la barra degli indirizzi ci possiamo rendere conto che ci troviamo sempre sullo stesso sito, che è essenzialmente una single-page application.
Penso che non finirò mai di ribadire quanto sia importante NON dare seguito nel modo più assoluto a questo genere di SMS. Anche in questo caso, la via migliore è cancellare l’SMS e avvisare la Polizia Postale e Amazon del tentativo di phishing.
Che ne pensi di questo articolo sull’SMS di phishing “Per favore conferma le tue credenziali…” a nome PAC8632? Commenta qui sotto e condividila con i tuoi amici! Non dimenticarti di iscriverti alla newsletter di Stolas Informatica e di seguirmi su Facebook e Instagram per rimanere sempre aggiornato!
Caricamento...