Quando il phishing è in vacanza

Quando il phishing è in vacanza

| Maria Sole Scollo | cybersecurity month 2021
Articolo letto 450 volte

In una spiaggia qualunque di un paese qualunque, una ragazza qualunque sdraiata al sole, si gode l'estate navigando in rete con il suo smartphone in cerca di SALDI.

foto di Maria Sole Scollo, Consortium GARR
Maria Sole Scollo, Consortium GARR

Accede al sito di un noto brand di moda in cerca di occasioni, e ne trova alcune interessanti, ma rimanda l'acquisto: vuole pensarci ancora un po' e poi è arrivato il momento di farsi un bagno!

Il giorno seguente la ragazza qualunque accede allo stesso sito (o almeno così crede) perché si è quasi decisa a comprare quel vestito in saldo visto il giorno prima. Digita il nome del brand sul motore di ricerca e, senza pensarci troppo e senza vedere bene in controluce, clicca sul primo link della lista come aveva fatto il giorno precedente. Si aprono le stesse IDENTICHE pagine che già conosce e scorre veloce verso l'articolo che le interessa. In effetti però qualcosa di diverso c'è: i prezzi sono scesi - wow! - pensa che è stata proprio una fortuna aver rimandato l'acquisto, e questa occasione di ulteriore risparmio la convince a riempire il suo carrello virtuale.

Arriva il momento di pagare ma prima bisogna registrarsi al sito, creare un account. Inserisce tutti i dati: come username chiedono di inserire l'indirizzo e-mail, sceglie al volo una password ma non la scrive da nessuna parte (è in spiaggia e non ha voglia di perdere troppo tempo) quindi prosegue con il pagamento... che strano… PayPal non è tra le possibili opzioni. In effetti l'unica opzione di pagamento possibile è la carta di credito... e carta di credito sia.

Non appena concluso il pagamento arriva l'e-mail di conferma dell'ordine (Ordine n. ecc..) così come l’SMS dell’avvenuta transazione da parte della banca (Autorizzazione pagamento ecc..), la ragazza qualunque può vederli dall'anteprima sullo schermo del suo smartphone… non c'è bisogno di aprirli, dopotutto il sole negli occhi l'ha già infastidita abbastanza.

La ragazza ha fatto recapitare il pacco a casa di un conoscente, perché lei sarà ancora in vacanza quando arriverà (dopo soli 3/4 giorni era specificato sul sito), ma i giorni passano e il pacco non arriva - sarà un ritardo dovuto alla pandemia - pensa, e poi smette di pensarci e si gode le sue vacanze.

Rientrata a casa si ricorda del pacco e chiama il conoscente che avrebbe dovuto riceverlo, ma del pacco neanche l'ombra. La ragazza qualunque inizia a spazientirsi. Così apre per la prima volta l’e-mail che era arrivata al momento dell'ordine. Qualcosa non quadra. Questa mail è così anonima...in effetti non fornisce alcuna informazione, oltre ad un banale numero d'ordine. Non c'è né un logo né nessun altro riferimento al sito del brand dal quale ha acquistato.

Le viene quindi in mente di accedere al sito con l'account creato per l'occasione, così da recuperare qualche informazione, magari un link per tracciare il suo pacco. Come sempre cerca il nome del brand sul motore di ricerca, clicca sul primo link dell’elenco, e procede al login: username e password… username... ah si! era l'indirizzo email. Password... non se la ricorda, l'aveva scelta al volo in spiaggia e non l'aveva scritta. Poco male, procederà al recupero... ma... che significa "non esiste nessun account con questo username"?? Riprova ancora e ancora. Non può essersi sbagliata, dopotutto la mail di conferma era arrivata, quindi l'indirizzo inserito era giusto.

Ed ecco, che in un giorno qualunque, in una città qualunque, alla ragazza qualunque si accende una lampadina... e non è una lampadina qualunque... ma certo! Si è trattato di un caso di PHISHING!

Per averne la certezza controlla la cronologia del browser, e solo allora si accorge che il sito visitato il primo giorno (quello in cui non ha acquistato) si chiama nomebrand.com, ed è lo stesso di quello dove ha appena provato a loggarsi, mentre il nome del sito visitato il giorno dell'acquisto si chiama nomebrand.ONLINE.com

Alla fine della storia, il pacco non è mai arrivato, ma fortunatamente la banca ha risarcito il denaro rubato.
La ragazza, ormai non più qualunque, è diventata consapevole del fatto che un paio di occhiali da sole a volte salvano il conto in banca oltre che la vista, ma soprattutto che la prudenza non è mai troppa, perché il phishing è sempre in agguato... anche in vacanza!

Maria Sole Scollo: IT security expert presso il Consortium GARR, fa parte di GARR-CERT dal 2002 (cert.garr.it). Si occupa della gestione degli incidenti di sicurezza, supporto agli utenti e pubblicazione di security alert, oltre che di formazione relativamente a temi di cybersecurity. Si dedica inoltre allo studio e all’analisi delle fonti di Cyber Intelligence per la protezione operativa dei dati.

Ti è piaciuto questo articolo? Faccelo sapere!
Dai un voto da 1 (poco) a 5 (tanto), ne terremo conto per scrivere i prossimi articoli.

Voto attuale:
Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

Archivio GARR NEWS