Cari lettori di Tecnogalaxy, oggi parleremo di una finta app di autenticazione che prende di mira le carte di credito.

Un gruppo di cyber criminali hanno fatto il salto di livello, inviando messaggi truffa scritti benissimo e app pubblicate sul Play Store per campagne raffinatissime.

I cybercriminali sono diventati molto abili, tanto da mettere in atto una campagna molto raffinata tecnicamente contro i clienti di Nexi SPA.

La tecnica ha raggiunto un livello talmente alto che ha stupito persino d3Lab, la società di cybersicurezza toscana che ha scoperto la campagna e ha subito segnalato a Google l’app malevola utilizzata dai cybercriminali.

Nella maggior parte dei casi queste campagne sono generalizzate e a largo raggio, la tecnica utilizzata per indurre gli utenti a scaricare l’app infetta o visitare il sito pericoloso è quella di tradurre i messaggi in modo automatico, con molti errori di grammatica e ripetizioni.

In questa campagna invece siamo di fronte ad un lavoro detto in gergo tecnico “di sartoria”, i cybercriminali hanno creato una campagna personalizzata per i clienti Nexi facendo persino passare l’app infetta sul Play Store di Google. (PAZZESCO SE CI PENSATE).

Alla base il meccanismo è sempre quello classico del phishing in aggiunta dell’app infetta….tutto fatto veramente bene.

Il messaggio di phishing

La campagna di phishing parte come spiegato prima da un SMS molto lungo….la cosa incredibile senza neanche un errore e in perfetto italiano, vediamo il contenuto:

NEXI: La tua utenza é stata disabilitata visto che non abbiamo ricevuto nessuna risposta alla nostra richiesta di verificare il tuo profilo online.

Per risolvere subito questo problema e per riabilitare l’uso della tua carta, ti preghiamo di effettuare subito l’aggiornamento dei dati online, altrimenti, la tua utenza verrà bloccata temporaneamente per accertamenti fiscali.

La verifica del tuo profilo può essere effettuata cliccando sul link sottostante:

https://nexi[.]club/s

Ci scusiamo per gli eventuali disagi creati .

Reparto Sicurezza Nexi

Se analizziamo il messaggio possiamo vedere che il contenuto è sempre lo stesso:

  1. È ancora presente il meccanismo dell’insistenza “con minaccia
  2. È presente un link all’interno del messaggio

Il sito fake di phishing

Se la vittima abbocca facendo click sul link, viene reindirizzato su un sito fike che imita molto bene ovviamente quello reale di “Nexi SpA”.

L’url del sito originale lo si riconosce principalmente dal TLD, cioè dalla sigla dopo il (punto)

https://www.nexi.it

Quello invece di phishing portano a nexi[.]shop, nexi[.]club

Quando la vittima accede al sito fake viene spinta a scaricare una app per la SCA, (Strong Customer Authentication), obbligatoria da quest’anno per tutte le app delle banche online e delle carte di pagamento.

L’app pericolosa che viene fatta scaricare ha due possibili nomi:

PSD2 Protector o PSD2 Auth Protector

La cosa pazzesca e che ci fa capire quanto è stata studiata questa campagna (e che stiamo parlando di professionisti), è che se cerchiamo su Google tutti e due i nomi otteniamo tra i primi risultati proprio il sito Web ufficiale quello di Nexi.

I cybercriminali hanno utilizzato anche tecniche SEO per ottimizzare i motori di ricerca per scegliere il nome dell’app.

L’app per essere installata chiede numerose autorizzazioni all’utente e spiega molto bene il “falso” motivo per cui le chiede, vediamo nel dettaglio:

  1. PSD2 Protector ha bisogno di questa autorizzazione per rendere i pagamenti più fluidi e per garantire che non venga effettuato l’accesso al codice di sicurezza da parte di terzi.

Il problema è che quando l’app è installata e funzionante è in grado di carpire i codici OTP inviati al telefono da inserire nei siti come conferma per i pagamenti… di conseguenza il cybercriminale che controlla l’app è in grado di fare dei pagamenti con la carta della vittima.

L’app attualmente è stata eliminata da Google play, e possibile visualizzarla dopo una ricerca ma non è possibile scaricarla, penserete siamo al sicuro allora……..

La risposta è no perché la scoperta di questa campagna è di un livello mai visto prima…è stata realizzata in modo impeccabile con un’ altissima probabilità di riuscita, questo perché tutti i passaggi sono stati curati in modo estremamente preciso.

Si tratta quasi sicuramente di cybercriminali italiani e questo ci fa capire che questi malintenzionati hanno smesso di fare campagne low cost e ora puntano molto più in alto.

Ti aspetto sul mio canale Youtube dove potrai trovare diversa documentazione

hacking

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.