Fornitori di kit di phishing SMS con sede in Cina: un successo straordinario
Negli ultimi anni, i fornitori di kit di phishing SMS con sede in Cina hanno ottenuto un notevole successo nel convertire i dati delle carte di pagamento rubate in portafogli mobili di Apple e Google. Inizialmente, il cosiddetto “Triade dello Smishing” si concentrava principalmente sull’imitazione di operatori di pedaggi stradali e compagnie di spedizioni. Tuttavia, gli esperti affermano che questi gruppi stanno ora prendendo di mira direttamente i clienti di istituzioni finanziarie internazionali, espandendo notevolmente la loro infrastruttura di cybercriminalità e il personale di supporto.
Un’immagine di una fattoria di dispositivi iPhone condivisa su Telegram da uno dei membri della Triade dello Smishing. Immagine: Prodaft.
Se possiedi un dispositivo mobile, è molto probabile che negli ultimi due anni tu abbia ricevuto almeno un messaggio istantaneo che avverte di una tassa di pedaggio stradale non pagata o di un pacco smarrito del servizio postale degli Stati Uniti (USPS). Chi clicca sul link promosso viene indirizzato a un sito web che imita l’USPS o un operatore di pedaggi locale e richiede informazioni sulla carta di pagamento.
Il sito quindi afferma che la banca del visitatore deve “verificare” la transazione inviando un codice una tantum via SMS. In realtà, la banca sta inviando quel codice al numero di cellulare registrato per il loro cliente perché i truffatori hanno appena tentato di registrare i dettagli della carta della vittima in un portafoglio mobile.
Se il visitatore fornisce quel codice una tantum, la sua carta di pagamento viene quindi aggiunta a un nuovo portafoglio mobile su un dispositivo Apple o Google fisicamente controllato dai phisher. Le bande di phishing caricano tipicamente più carte rubate nei portafogli digitali su un singolo dispositivo Apple o Android, e poi vendono quei telefoni in blocco a truffatori che li utilizzano per transazioni di e-commerce fraudolente e pagamenti contactless.
Uno screenshot del pannello amministrativo per un kit di smishing. A sinistra ci sono i dati (di prova) inseriti nel sito di phishing. A destra possiamo vedere che il kit di phishing ha sovrapposto il numero di carta fornito su un’immagine di una carta di pagamento. Quando il kit di phishing scansiona quell’immagine di carta creata in Apple o Google Pay, attiva la banca della vittima per inviare un codice una tantum. Immagine: Ford Merrill.
Il nome “Triade dello Smishing” proviene da Resecurity, che è stata tra le prime a segnalare nell’agosto 2023 l’emergere di tre distinti gruppi di phishing mobile con sede in Cina che sembravano condividere alcune infrastrutture e tecniche di phishing innovative. Tuttavia, è un po’ un termine improprio perché le esche di phishing inviate da questi gruppi non sono SMS o messaggi di testo nel senso convenzionale.
Piuttosto, vengono inviati tramite iMessage agli utenti di dispositivi Apple e tramite RCS sui dispositivi Google Android. In questo modo, i messaggi bypassano completamente le reti di telefonia mobile e godono di un tasso di consegna vicino al 100% (almeno fino a quando Apple e Google sospendono gli account spam).
In un rapporto pubblicato il 24 marzo, la società svizzera di intelligence sulle minacce Prodaft ha dettagliato il rapido ritmo di innovazione proveniente dalla Triade dello Smishing, che caratterizza come un gruppo federato di operatori di phishing-as-a-service cinesi.
Fonte: Krebs on Security
Ricevi le ultime attualità sul mondo tech!