Il Computer Emergency Response Team (CERT-GIB) di Group-IB ha identificato nei soli primi 10 giorni di dicembre 587 siti fasulli, accertando un aumento del 34% rispetto agli ultimi 10 giorni di novembre: cresce quindi sotto Natale il numero delle frodi. In totale, a partire da novembre, il CERT-GIB ha scoperto 1539 siti di phishing che impersonano servizi di spedizione e consegna. Si presume che queste risorse di phishing siano utilizzate all’interno di una singola campagna di scam. I truffatori approfittano della corsa ai regali dell’ultima ora e inviano messaggi SMS camuffati da avvisi di consegna “urgente” o “non riuscita”. Sotto le mentite spoglie di noti corrieri, i messaggi chiedono ai destinatari di visitare siti web fraudolenti ove inserire dati personali e di pagamento. Group-IB intende continuare la sua campagna informativa rivolta ai marchi della logistica oggetto di contraffazione.
Appurare l’autenticità di tali avvisi, evitare di cliccare su link sospetti e verificare le informazioni presso fonti affidabili sono passaggi essenziali per proteggersi dalle truffe legate alle consegne.
I tentativi di truffa a mezzo notifiche di consegna hanno raggiunto il picco a dicembre, durante il periodo più frenetico dell’anno per i servizi di spedizione a fronte dell’aumento degli ordini online. Gli scammer creano quotidianamente centinaia di siti web che mimano marchi legittimi della logistica. Secondo il CERT-GIB, l’8 dicembre 2023 è il giorno in cui è stato creato il più alto numero di risorse di phishing. Questa particolare campagna coinvolge noti marchi della logistica in 53 Paesi. La maggior parte delle pagine di phishing identificate mira agli utenti in Germania (17,5%), Polonia (13,7%), Spagna (12,5%), Regno Unito (4,2%), Turchia (3,4%) e Singapore (3,1%).
Tipicamente le pagine di phishing presentano nomi e logotipi ufficiali delle aziende di spedizione imitate e simulano i rispettivi URL tramite typosquatting (variazioni tipografiche dei nomi di dominio legittimi).
Oltre all’abuso del marchio dei fornitori di servizi di consegna, questo schema viene utilizzato anche per attaccare operatori di telecomunicazioni, banche e servizi di pedaggio. Gli esperti di Group-IB notano inoltre che i criminali si avvalgono di diverse tecniche per assicurarsi che le risorse create a scopo fraudolento non vengano rilevate né dalle autorità né dai ricercatori di sicurezza informatica. Limitano ad esempio l’accesso ai siti contraffatti solo ad aree geografiche specifiche consentendolo solo dai Paesi a cui è indirizzato lo scam. I siti web che simulano aziende della logistica sono inoltre funzionali solo su dispositivi e sistemi operativi specifici. Un’altra caratteristica rimarchevole dell’attuale campagna è che le risorse contraffatte restano disponibili solo per pochi giorni, rendendo più difficoltosa l’analisi dello schema da parte degli esperti di cybersecurity e ostacolandone la rilevazione tramite soluzioni antiscam convenzionali.
“Con gli acquisti last minute e spinti dal desiderio di ricevere i pacchi in tempo, si tende ad essere meno cauti”, afferma Giulio Vada, Head of Business Development Italy & Iberia presso Group-IB. “Con i loro avvisi di consegna contraffatti gli scammer sfruttano questo senso di urgenza. L’elevato numero di pacchi inviati durante le festività facilita il compito dei truffatori che si fingono corrieri legittimi. Consigliamo agli utenti di verificare i dettagli del mittente, di esaminare con cautela i canali ufficiali data l’alta probabilità di incappare in risorse contraffatte, di considerare gli avvisi di consegna come una potenziale minaccia, di accedere direttamente ai siti web ufficiali e di informarsi sulle attuali tattiche di truffa.”
I marchi oggetto di abuso sono i più danneggiati da queste campagne: i clienti insoddisfatti reagiscono prontamente. I titolari di tali marchi devono quindi agire tempestivamente e intraprendere azioni contro gli scammer. Una rilevazione precoce è la chiave sia per minimizzare i rischi digitali in cui incorrono i marchi interessati sia per proteggere le potenziali vittime. Per essere efficaci, il monitoraggio e il blocco delle risorse contraffatte dovrebbero includere un sistema di protezione contro i rischi digitali basato sull’apprendimento automatico, alimentato con dati di intelligence tramite aggiornamenti regolari della base di conoscenze sulle infrastrutture, le tattiche e gli strumenti dei criminali informatici. La soluzione Digital Risk Protection di Group-IB, parte integrante della sua Unified Risk Platform, può individuare infrastrutture fraudolente già in una fase precoce e avviare il processo di smantellamento. Tra le caratteristiche dell’Attack Surface Management di Group-IB figura ora anche la rilevazione del typosquatting di nomi di dominio legittimi, consentendo alle aziende di esaminare le copie contraffatte dei loro domini e tutti i dettagli rilevanti.
