Il Threat Intelligence Team di D3Lab ha intercettato un pericoloso clone malevolo che si spaccia per Caritas Italiana con l’obiettivo di sottrarre documenti personali e credenziali finanziarie alle vittime.
La campagna sfrutta una delle tecniche più insidiose del cybercrime: utilizzare il nome di un’organizzazione benefica e la fiducia riposta in istituzioni caritatevoli per colpire gli utenti attraverso social engineering e phishing.
Al momento non è noto il vettore di attacco ma è gli esperti ipotizzano che attraverso un link contenuto in una email o via sms gli utenti raggiungano la home page del sito fraudolento dove viene promessa una falsa “Assistenza Finanziaria di €”. In questa fase il portale richiede agli utenti di inserire numero di telefono e città di residenza per rendere credibile la procedura.
Il furto d’identità in due fasi
Il cuore dell’attacco è rappresentato dalla raccolta di documenti personali, richiesta attraverso due pagine differenti:
- /front.php: viene chiesto di caricare una foto nitida del passaporto aperto, con istruzioni dettagliate su illuminazione e leggibilità in modo così da assicurarsi che i dati siano utilizzabili;
- /selfie.php: la vittima deve invece caricare la scansione della Tessera Sanitaria o del codice fiscale.
Dopo il caricamento dei documenti, una pagina finale simula l’elaborazione della pratica con una falsa barra di avanzamento, invitando l’utente ad attendere alcuni minuti.
Per aumentare la diffusione della truffa, il sito implementa anche un meccanismo di ingegneria sociale che incoraggia l’utente a invitare amici o familiari per accelerare la revisione della propria pratica, fornendo un link di condivisione che utilizza una tecnica di offuscamento tramite url e sfrutta il typosquatting (doppia “i” nel nome) per indurre i contatti della vittima a credere che il link provenga dal sito ufficiale della Caritas.
Phishing Finanziario
Una volta comunicata la falsa accettazione della richiesta, l’utente visualizza un falso messaggio di conferma con un logo Paypal. Cliccando sul logo, la vittima viene reindirizzata verso una pagina di login contraffatta che imita il canale ufficiale di PayPal progettata per rubare email e password.
Una volta inserite le credenziali, le informazioni vengono inviate a una pagina non visibile che gestisce l’esfiltrazione finale trattenendo l’utente con un finto messaggio di elaborazione dati.
Questo caso dimostra come le campagne di phishing evolvano sempre di più verso modelli ibridi che combinano furto d’identità, social engineering e compromissione finanziaria.
D3Lab invita tutti gli utenti a prestare la massima attenzione, non cliccare su link ricevuti via SMS o email, verificare sempre i domini visitati e non divulgare mai informazioni personali o credenziali su portali non ufficiali.
