Il team di Threat Intelligence di D3Lab, nell’ambito del suo servizio di Brand Monitor, ha scoperto una serie di campagne di phishing ai danni di Trenitalia, l’azienda pubblica italiana partecipata dal 100% da Ferrovie dello Stato Italiane e la principale società italiana per il trasporto ferroviario passeggeri.
Iniziata e rilevata giovedì 7 novembre, la campagna di phishing in corso è veicolata tramite diversi domini creati ad hoc che fungono da reindirizzamenti verso un’unica destinazione. Un esempio degno di nota di uno di questi è tren-italia[.]com, che sembra imitare il sito legittimo di Trenitalia, il cui intento sembra essere quello della vendita dei biglietti ferroviari.
Ma la cosa più sorprendente è come l’url di destinazione, trenitalia[.]pro, riprenda perfettamente la grafica del portale lecito di Trenitalia, che invece è trenitalia.it
Una volta entrati in uno di questi siti ingannevoli, agli utenti viene presentata un’interfaccia che replica il portale ufficiale di Trenitalia, trenitalia.it. Provando a inserire i dati di un ipotetico viaggio, il sito fraudolento chiede agli utenti di inserire i dettagli, incluse varie opzioni, tariffe e offerte.
Man mano che gli utenti procedono con il processo di prenotazione vengono invitati a inserire informazioni personali, tra cui nome, cognome, e-mail e numero di contatto. Inoltre, agli utenti potrebbe essere richiesto di fornire il codice Cartafreccia nel caso in cui il nome del passeggero differisca da quello dell’acquirente.
Lo schema raggiunge un punto critico quando agli utenti viene chiesto di inserire i dati della loro carta di credito per autorizzare il pagamento. La pagina, di solito in italiano, presenta con le label dei campi da compilare in lingua inglese. Al tentativo di completare la transazione, gli utenti ricevono un messaggio che indica che la loro carta non è supportata, chiedendo loro di inserire un’altra tipologia di carta.
Da questo momento, cliccando su Back to shop, gli utenti vengono reindirizzati automaticamente al sito legittimo di Trenitalia e il clone non sarà più raggiungibile.
Ulteriori analisi rivelano che, una volta inseriti i dettagli della propria carta di credito e cliccato su Continue per finalizzare l’acquisto, i dati vengono inviati a:
https://bknd[.]trenitalia[.]pro/backend-book/v1/bot_user/new_log
Il messaggio restituito è: “Данные успешно сохранены в MongoDB” (I dati sono stati salvati con successo su MongoDB), suggerendo l’origine russa del team criminale coinvolto.
Gli esperti di D3Lab invitano gli utenti a prestare attenzione e a non divulgare le proprie informazioni sensibili come username, password, e-mail, dati della carta di credito, ecc.
https://www.d3lab.net/campagna-di-phishing-ai-danni-di-trenitalia/
