Il team anti‑frode di D3Lab ha individuato la prima campagna di phishing in lingua italiana mirata agli utenti di Klarna, il popolare servizio di pagamento digitale. L’attacco viene diffuso tramite e‑mail e simula una comunicazione ufficiale che avvisa la vittima della sospensione di alcune funzionalità dell’account a causa di un presunto pagamento non più valido. Il messaggio invita l’utente a effettuare un accesso immediato per verificare la propria identità.
Come funziona l’attacco
Lo scopo della campagna è il completo furto dell’account Klarna. L’intero percorso fraudolento è strutturato in più fasi, tutte accurate per imitare con precisione l’esperienza reale di login: vengono richiesti recapito (telefono o e-mail), password e il codice OTP generato da Klarna e inviato via SMS. Questa modalità lascia presupporre la presenza di un criminale operante in tempo reale, che interagendo con la vittima, ha modo di usare il token OTP prima della sua scadenza.
L’OTP viene intercettato e utilizzato dagli attaccanti per superare l’autenticazione a due fattori e ottenere l’accesso al conto, assumendo così pieno controllo dell’account con potenziali conseguenze economiche e ulteriori tentativi di frode.
Analisi delle pagine di phishing
Le pagine di phishing create dai criminali replicano in modo credibile l’interfaccia originale di Klarna, dai colori ai layout fino ai riferimenti a privacy e termini d’uso.
La prima schermata richiede un recapito, mentre la successiva simula la procedura di invio del codice OTP via SMS, indicando perfino il tempo di attesa stimato: la schermata comunica che l’OTP è stato inviato e che dovrebbe essere ricevuto entro venti secondi, simulando il comportamento del sistema di sicurezza di Klarna.
Tra gli indicatori di compromissione rilevati spicca il dominio kil3kal[.]info, utilizzato per ospitare una delle pagine false.
Gli esperti segnalano inoltre che sono stati identificati diversi IoC legati all’infrastruttura utilizzata per ospitare le pagine di phishing. Le URL si appoggiano a domini temporanei o compromessi, tipici delle campagne costruite tramite kit prefabbricati.
Conclusioni
Questa rappresenta la prima campagna di phishing in italiano indirizzata a Klarna. L’accuratezza con cui viene riprodotto il processo di autenticazione, unita alla capacità degli attaccanti di intercettare l’OTP in tempo reale, rende l’operazione particolarmente pericolosa.
D3Lab conferma che il monitoraggio del brand rimane attivo e che eventuali nuove varianti o evoluzioni dell’attacco saranno segnalate tempestivamente.
https://www.d3lab.net/prima-campagna-di-phishing-ai-danni-di-klarna-rilevata-in-italia/
