Sta arrivando una nuova truffa online pericolosissima
Con Letscall i truffatori alzano l'asticella, sfruttando un mix di tecniche informatiche e di ingegneria sociale applicabile a decine di tipi diversi di truffa
Si chiama “Letscall“, è stata già vista all’opera in Corea del Sud dagli esperti di sicurezza di ThreatFabric, è sofisticatissima e non c’è letteralmente nessun ostacolo che le impedisca di essere utilizzata ovunque nel mondo, Italia compresa. Si tratta di una nuova tecnica di “vishing“, cioè una truffa basata sul phishing vocale.
Il phishing, lo ricordiamo, consiste nell’ingannare la vittima facendogli credere, ad esempio, che il messaggio che sta leggendo o il sito sul quale sta navigando siano legittimi e sicuri. Letscall può essere usata per attaccare i telefoni Android, prenderne il pieno possesso e, tramite il telefono, accedere al conto bancario dell’utente-vittima. Ma può fare anche molto di più.
Come funziona Letscall
Letscall è una delle tecniche più evolute degli ultimi tempi per mettere a segno truffe online e aggredire i conti correnti delle vittime. Si basa su una precisa catena, con tre passaggi principali.
Il primo passaggio consiste nello spingere l’utente a visitare una pagina falsa del Play Store, dalla quale scaricherà un’altrettanto falsa app della sua banca. Ci sono diversi metodi di phishing per convincere l’utente a compiere questo primo passo: tramite SMS, via email o anche al telefono (vishing).
Quando la vittima scarica la prima app, l’infezione ha inizio. La finta app è un downloader, che scarica altro codice e altri dati sul telefono della vittima, per prepararlo a ciò che verrà dopo.
Il nuovo codice si comporta da spyware e inizia a raccogliere tutte le informazioni sensibili che trova sul telefono, spiando l’utente mentre accede al suo conto online e rubandogli i dati dell’account.
Si tratta del secondo step, quello grazie al quale gli hacker riescono a prelevare denaro dal conto corrente della vittima. Se la vittima se ne accorge, però, scatta anche il terzo step che è quello più innovativo e potenzialmente pericoloso.
Il virus precedentemente installato, infatti, ha scaricato sul telefono dei file audio preregistrati che vengono riprodotti quando l’utente prova a chiamare la sua banca. Questi file audio simulano il classico menu telefonico del call center della banca, ma chiaramente l’utente non riuscirà mai a parlare con un operatore.
In alcune varianti di Letscall si va persino oltre: gli hacker rispondono personalmente all’utente per tranquillizzarlo, mentre svuotano il conto un po’ alla volta per non insospettire i sistemi di sicurezza della banca.
Per sfuggire ai controlli di un eventuale antivirus installato sullo smartphone, invece, Letscall adotta diverse tecniche di offuscamento del codice.
Letscall è pericolosissima
Si fa presto a capire che Letscall è una truffa molto sofisticata e complessa, che prevede un mix di tecniche e una struttura criminale in grado di usarle al meglio. Di fatto, però, Letscall è un kit pronto all’uso in qualunque parte del mondo: i criminali devono solo decidere quale app fare scaricare all’utente e convincerlo a farlo, e in caso poi rispondere al telefono.
Non passerà molto, quindi, prima che questa tecnica venga adottata anche in Italia e nel resto d’Europa e non solo per attaccare i conti correnti. Con lo stesso kit e con gli stessi step è possibile mettere a segno decine di tipi diversi di truffa: dall’acquisto di merce non desiderata alla sottoscrizione di servizi telefonici a pagamento, come anche la richiesta di prestiti (i soldi vanno sul conto del truffatore, le rate su quello della vittima).
In ognuno di questi casi la vittima si potrebbe insospettire e chiamare la banca, la finanziaria, l’ecommerce. Dall’altro lato, però, troverebbe sempre qualcuno pronto a rassicurarlo che va tutto bene.