Nuova ondata di finte email BRT: sembrano vere, come riconoscerle

Fonte foto: momius - stock.adobe.com

Gli hacker italiani alzano il livello dei loro attacchi, anche quelli tramite email di phishing, ma restano fedeli al ben noto e molto efficace malware bancario Ursnif, che nel tempo si è dimostrato un ottimo (per i cybercriminali) strumento per sottrarre le credenziali dei conto correnti delle vittime.

L’ultima campagna di phishing che veicola Ursnif, scoperta dal ricercatore di sicurezza JAMESWT, sfrutta il brand del corriere espresso BRT Spa e il ben noto amo della fattura scaduta. Niente di nuovo fino a qui, ma il corpo dell’email ingannevole e pericolosa è stato ben studiato per far sembrare il messaggio molto credibile. Tanto credibile da convincere l’utente a scaricare l’allegato contenente la finta fattura non pagata e il codice malevolo che fa partire l’infezione. Ecco come riconoscere questo tipo di email per non cadere in trappola e non rischiare che qualcuno possa accedere al nostro conto corrente.

Finta email BRT, come riconoscerla

Il ricercatore di sicurezza ha condiviso su Twitter alcuni screenshot delle email di phishing a tema BRT, che sono ancora in corso di invio mentre scriviamo. Provengono tutte da indirizzi simili a “ammXXX@brt.it” (dove XXX è un numero come 092 o 098). L’oggetto della email è: “BRT S.P.A. – Sollecito pagamento fatture XXXXXXXX (IDXXXXXXX)“. Anche in questo caso al posto delle X ci sono dei numeri, che variano di volta in volta.

Poi c’è il corpo dell’email, realizzato in modo quasi sartoriale e con grandissima attenzione: “Gentile cliente, con la presente Le segnaliamo che non ci risulta pervenuto il pagamento delle fatture scadute di seguito riportate“. Segue la data della fattura, che è di 30 giorni precedente al sollecito (come prevede la legge: il cliente ha 30 giorni per saldare le fatture), la scadenza e l’importo.

Gli importi variano, ma sono sempre consistenti: tra 1.500 e 2.000 euro, per far preoccupare chi riceve il sollecito di pagamento. Poi c’è una ulteriore chicca: “Il pagamento può essere pagato con bonifico bancario a favore di BRT S.p.A., usando le coordinate IBAN di una delle Banche di seguito elencate riportando nella descrizione il codice cliente XXXXXXXX“.

In questo caso al posto delle X c’è lo stesso numero riportato nell’oggetto dell’email, segno che non siamo affatto di fronte ad un messaggio creato da un software, magari in diverse lingue contemporaneamente (usando pessimi traduttori automatici). No, siamo di fronte ad una email scritta a puntino, fatta a posta per sembrare vera e legittima tanto che poi gli IBAN sono riportati veramente.

E sono tutti IBAN credibili, seppur inesistenti: iniziano per IT e seguono le regole di composizione standard di questi codici bancari. Non mancano i nomi di cinque famose banche italiane, uno per ogni IBAN indicato e, per finire, un numero di telefono a cui chiamare per avere informazioni.

Numero che, per di più, è della sede BRT di Casale sul Sile in provincia di Treviso. Tutto, ma proprio tutto, è quindi studiato per sembrare assolutamente credibile e convincere chi riceve questa email a scaricare l’allegato in formato xlsm di Office: la finta fattura che contiene il virus Ursnif.

Malware Ursnif, perché è pericoloso

Ursnif, chiamato anche Gozi o ISFB (sono tutti virus leggermente diversi tra loro, ma appartenenti allo stesso ceppo), è un virus per Windows vecchissimo: è stato avvistato per la prima volta nel 2009, oltre dieci anni fa. Non per niente è anche il trojan bancario più diffuso nel nostro Paese e tra i primi 5 a livello globale. Per gli hacker, quindi, è una certezza.

Oggi Ursnif è molto più potente di quando è nato e può spiare a fondo il comportamento dell’utente del computer infetto, raccogliendo dati sulla navigazione Web e su cosa digita. Quando l’utente visita il sito della sua banca online e digita la password, quindi, Ursnif registra tutto e invia i dati agli hacker.

I quali, ovviamente, li useranno per accedere a quel conto corrente e iniziare a fare bonifici verso i propri conti esteri.