Attenti alla finta app di autenticazione: mira alla carta di credito
Gli hacker italiani hanno fatto il salto di livello: messaggi truffa scritti benissimo e app pubblicate sul Play Store per campagne raffinatissime
I cybercriminali italiani sono diventati molto abili, tanto da mettere in atto una campagna di attacco contro i clienti di Nexi SpA estremamente raffinata. Talmente raffinata da stupire persino d3Lab, la società di cybersicurezza toscana che ha scoperto la campagna e ha segnalato a Google l’app malevola usata dagli hacker per impossessarsi della carta di pagamento Nexi delle vittime.
Storicamente queste campagne di attacco sono generalizzate e a largo raggio, ma anche a bassissimo costo. Lo si intuisce dal fatto che molto spesso, per indurre gli utenti a scaricare l’app infetta o a visitare il sito pericoloso, si usano messaggi tradotti in modo automatico, con molti errori di grammatica e ripetizioni. Questa volta, invece, siamo di fronte ad un lavoro di sartoria: gli hacker hanno creato una campagna cucita addosso ai clienti Nexi e sono persino riusciti a far passare l’app infetta sul Play Store di Google. Il meccanismo di base è sempre quello classico del phishing più app infetta, ma il tutto è stato fatto veramente bene.
Il messaggio truffa ai clienti Nexi
Come illustra d3Lab tutta la campagna di phishing contro i clienti Nexi parte da un SMS molto lungo e, cosa incredibile, senza neanche un errore e in perfetto italiano:
NEXI: La tua utenza é stata disabilitata visto che non abbiamo ricevuto nessuna risposta alla nostra richiesta di verificare il tuo profilo online.
Per risolvere subito questo problema e per riabilitare l’uso della tua carta, ti preghiamo di effettuare subito l’aggiornamento dei dati online, altrimenti, la tua utenza verrà bloccata temporaneamente per accertamenti fiscali.La verifica del tuo profilo può essere effettuata cliccando sul link sottostante:
https://nexi[.]club/sCi scusiamo per gli eventuali disagi creati .
Reparto Sicurezza Nexi
Certo, c’è ancora il meccanismo dell’insistenza (con minaccia) e, soprattutto, c’è il link direttamente nel messaggio, due chiari campanelli di allarme, ma siamo anni luce dal classico messaggio truffa scritto in un italiano sgangherato da un traduttore automatico.
Il sito di phishing
Se il cliente Nexi abbocca all’amo, quindi, fa click sul link e viene spedito su un sito contraffatto che imita molto bene quello reale di Nexi SpA. Lo si riconosce principalmente dal TLD, cioè dalla sigla dopo il "punto" nell’indirizzo del sito: il portale ufficiale di Nexi è https://www.nexi.it/ mentre i vari link di phishing portano a nexi[.]shop, nexi[.]club e simili.
Una volta dentro il sito, l’utente viene spinto a scaricare una app per la SCA, la Strong Customer Authentication obbligatoria da quest’anno per tutte le app delle banche online e delle carte di pagamento. Tale app si trova sul Google Play Store e riserva altre sorprese.
L’app pericolosa
A seconda della variante della campagna di phishing contro i clienti di Nexi in cui si incappa, i possibili nomi dell’app pericolosa sono due: PSD2 Protector o PSD2 Auth Protector.
La cosa ancor più preoccupante di tutta questa vicenda (come se quanto raccontato fino ad ora non fosse già abbastanza preoccupante), è che se cerchiamo su Google entrambi i nomi otteniamo, tra i primi risultati, il sito Web ufficiale (quello vero) di Nexi. Gli hacker, quindi, hanno anche studiato bene il sito di Nexi e hanno usato tecniche SEO, cioè di ottimizzazione per i motori di ricerca, per scegliere il nome dell’app.
Ciò vuol dire che se un cliente Nexi, prima di scaricare l’app, ha un dubbio sulla legittimità dell’app e la cerca su Google, allora è molto probabile che finisca per convincersi che va tutto bene, perché vede il sito di Nexi e si rassicura.
Una volta scaricata l’app, però, essa chiede numerose autorizzazioni all’utente e spiega anche molto bene il (falso) motivo per cui le chiede: "PSD2 Protector ha bisogno di questa autorizzazione per rendere i pagamenti più fluidi e per garantire che non venga effettuato l’accesso al codice di sicurezza da parte di terzi".
Il problema, però, è che quando l’app è installata e funzionante riesce a carpire i codici OTP inviati al telefono e da inserire nei siti di vendita come conferma dei pagamenti e, di conseguenza, chi controlla l’app è in grado di fare pagamenti con la carta della vittima e, in pratica, di svuotarla in un batter d’occhio.
L’app è sparita, il pericolo no
d3Lab ha scoperto questo raffinatissimo meccanismo a maggio 2022 e ha segnalato a Google l’app pericolosa il primo di giugno. Google il 2 giugno l’ha rimossa dal Play Store: da mobile è possibile vederla, ma non scaricarla, da desktop non la si trova neanche più. Tutto bene quel che finisce bene?
Mica tanto: la campagna scoperta dall’azienda di cybersicurezza italiana è di un livello mai visto prima, realizzata in modo impeccabile e ad altissima probabilità di riuscita perché tutti i passaggi sono stati curati in modo estremamente preciso e curato. Si tratta quasi certamente di hacker italiani, ma soprattutto di hacker che hanno smesso di fare campagne low cost e ora puntano molto più in alto.
