A Fabriano, una donna di cinquant’anni è caduta vittima della truffa “wangiri”, perdendo tutto il suo credito telefonico dopo aver richiamato un numero sconosciuto che l’aveva chiamata più volte. Preoccupata per l’insistenza delle chiamate, la donna ha deciso di segnalare l’accaduto al Commissariato di Polizia.

La denuncia al Commissariato di Polizia

Dopo aver ricevuto numerose chiamate da un numero sconosciuto senza riuscire a rispondere a causa degli impegni lavorativi, la donna si è recata all’ufficio denunce del Commissariato di Polizia per raccontare l’accaduto. Nonostante abbia tentato di contattare il numero misterioso, dall’altra parte del telefono non c’era che silenzio.

La truffa “wangiri” e come funziona

La truffa “wangiri”, che sta tornando di moda negli ultimi tempi, si basa sull’approfittare della buona fede delle persone contattate, spingendole a richiamare numeri collegati a costosi servizi telefonici a pagamento. In questo modo, il credito telefonico della vittima viene prosciugato in pochi secondi. La polizia ha confermato che la denunciante era caduta vittima di questa cybertruffa.

Prevenire e proteggersi dalla truffa “wangiri”

Per evitare di cadere vittima della truffa “wangiri”, è importante non richiamare numeri sconosciuti e segnalare eventuali chiamate sospette alle autorità competenti. Inoltre, è consigliabile verificare il numero di telefono su Internet per capire se si tratta di un numero collegato a truffe o servizi a pagamento.

In un recente caso di truffa di sim swap a Napoli, due donne hanno perso 29.000 euro a causa di un truffatore che ha sottratto il denaro dai loro conti correnti presso Intesa Sanpaolo. La vicenda ha portato alla condanna sia della banca che di Telecom Italia, ritenute responsabili per il 50% del danno subito dalle vittime.

Il meccanismo della truffa

La truffa è avvenuta attraverso una serie di passaggi complessi, tra cui l’accesso non autorizzato all’account delle vittime, l’invio di notifiche ai cellulari collegate al conto, e l’utilizzo fraudolento delle credenziali di accesso e dei dati anagrafici delle correntiste. Il truffatore ha poi ottenuto una nuova sim card a nome di una delle vittime da Telecom Italia, perfezionando la truffa di sim swap e consentendo ulteriori operazioni illecite sul conto corrente.

La responsabilità di Intesa Sanpaolo e Telecom Italia

La sentenza finale stabilisce che Intesa Sanpaolo è responsabile della truffa in quanto non ha adottato un sistema di sicurezza immune a questo tipo di truffe e non ha bloccato l’account delle vittime in tempo utile. Telecom Italia, dal canto suo, è ritenuta responsabile per aver fornito al truffatore la sim intestata a una delle vittime senza adeguata verifica di identità.

Il risarcimento e le possibili conseguenze legali

Intesa Sanpaolo e Telecom Italia sono state condannate a risarcire il 50% dei 29.000 euro rubati, oltre agli interessi e alle spese legali. Tuttavia, gli avvocati delle vittime hanno annunciato che presenteranno appello, ritenendo che la responsabilità delle due aziende sia stata accertata con certezza, mentre non è stato dimostrato un concorso di colpa delle attrici nel caso.

L’attore delle minacce noto come DEV-1101 dal 2022 starebbe offrendo il proprio kit open source di phishing AiTM (che automatizza la configurazione e l’avvio di attività di phishing) apportando numerose migliorie, come la capacità di gestire campagne da dispositivi mobili e funzionalità di evasione tramite pagine CAPTCHA e fornendo servizi di supporto ai propri affiliati. Tutto questo renderebbe il kit attraente per una vasta gamma di attori malevoli con motivazioni e obiettivi diversi.

Il Microsoft Threat Intelligence, avendo osservato milioni di e-mail di phishing allestite con questo kit, mette in allarme la comunità cyber.

Kit AiTM DEV-1101

I kit di phishing Adversary-in-the-middle (AiTM) rappresentano una nuova realtà che oltre a far parte dell’industrializzazione dell’economia del crimine informatico mette alla portata di tutti l’allestimento di attacchi di phishing efficaci.

DEV-1101 in particolare è un attore monitorato da tempo da Microsoft e responsabile dello sviluppo, del supporto e della pubblicità di diversi kit di questo tipo che possono essere acquistati o noleggiati. 

La promozione del kit di phishing DEV-1101

DEV-1101 ha iniziato a pubblicizzare il proprio kit AiTM intorno a maggio del 2022 attraverso un canale Telegram e una pubblicità su un popolare forum “exploit[.]in”. Il kit AiTM viene pubblicizzato come un’applicazione scritta in NodeJS con funzionalità di reverse-proxy PHP, configurazione automatizzata, evasione del rilevamento tramite un database antibot o pagine CAPTCHA, gestione dell’attività tramite i bot di Telegram e un’ampia gamma di pagine di phishing già pronte che imitano form di accesso Microsoft Office e Outlook.

Una e-mail campione

Secondo Microsoft, DEV-0928 sarebbe uno dei sostenitori più importanti di DEV-1101 lanciando una campagna di phishing che ha coinvolto oltre un milione di e-mail. L’attacco iniziava con un’e-mail di phishing che invitava gli utenti a fare click su un file pdf.

Facendo click sul file pdf, gli utenti venivano poi reindirizzati a pagine di phishing che riproducevano form login Microsoft, inserendo nella sequenza di attacco come tecnica di evasione una pagina CAPTCHA.

Aggirare l’autenticazione MFA

Tra le funzionalità, il kit offre in particolare la possibilità di aggirare l’autenticazione a più fattori (MFA).

“Dopo le pagine di evasione, una pagina di landing di phishing viene presentata al target da un host controllato dall’attore attraverso la configurazione di un reverse-proxy dell’attore di phishing: A questo punto, il server dell’attore acquisisce le credenziali inserite dall’utente. Se l’utente ha abilitato MFA, il kit AiTM continua a funzionare come proxy tra l’utente e il servizio di accesso dell’utente, ovvero, quando l’utente completa un accesso MFA, il server acquisisce il cookie di sessione risultante. L’attaccante può quindi aggirare l’autenticazione a più fattori con il cookie di sessione e le credenziali rubate dell’utente“, spiega il Microsoft Threat Intelligence nel rapporto.

Consigli di mitigazione

Poiché l’autenticazione multi fattore rimane pur sempre un arma essenziale contro un’ampia varietà di minacce che minano l’identità digitale, Microsoft consiglia alle organizzazioni di integrare l’MFA con ulteriori livelli di sicurezza per garantire una protezione ancora più efficace. Ad esempio investendo in soluzioni di sicurezza anti-phishing e monitorando costantemente le attività sospette o anomale secondo un approccio proattivo.