Il noto servizio di corriere express internazionale DHL sta venendo sfruttato dai criminali informatici che utilizzano come esca false notifiche di consegna. Questa volta, tuttavia, a dare il via a questo tipo di truffa non è il solito link di phishing, ma un codice QR presente nell’e-mail.
L’attacco inizia con un’e-mail, apparentemente inviata da DHL. Nonostante l’indirizzo del mittente sia una serie di parole casuali che non somigliano affatto al nome del corriere, il corpo del messaggio è piuttosto convincente: logo dell’azienda, numero d’ordine (anche se falso) e presunta data di ricezione del pacco.
All’utente viene comunicato che un ordine è arrivato presso l’ufficio postale locale, ma il corriere non è riuscito a consegnarlo di persona. Nella e-mail è presente, anziché un link che “consente” di “risolvere il problema”, un codice QR.
L’idea degli hacker è che, se la vittima apre l’e-mail su un computer, dovrà comunque leggere il codice QR con uno smartphone, il che significa che il sito dannoso si aprirà sul piccolo schermo di un cellulare, dove i segni di phishing sono più difficili da individuare. A causa dei limiti di spazio dei browser mobili, gli URL non sono completamente visibili. Inoltre, in Safari, la barra degli indirizzi è stata di recente spostata nella parte inferiore dello schermo, dove molti utenti non guardano neanche. Questo fa il gioco dei criminali, perché l’URL del loro sito falso non ha alcunché di simile a quello ufficiale (la parola DHL non compare nemmeno).
Il testo del sito è inoltre di dimensioni ridotte, il che significa che eventuali difetti di stile sono meno evidenti. La pagina si presenta con i colori gialli e rossi del marchio, il nome dell’azienda è riportato in basso e il testo è praticamente privo di errori, ad eccezione di un paio di lettere minuscole all’inizio delle frasi.
La vittima viene informata che il pacco arriverà entro 1-2 giorni e che per riceverlo l’utente dovrà inserire nome, cognome e indirizzo con codice postale, cosa che il servizio legittimo di consegna richiede effettivamente nella pratica, il che quindi non desta alcun sospetto. Nella pagina successiva, alla vittima vengono chiesti i dati della carta di credito, compreso il codice CVV, presumibilmente per pagare la consegna. Gli attori malevoli non specificano l’importo, ma si limitano a comunicare che il costo dipende dalla zona e ad assicurare che il denaro non verrà addebitato fino all’arrivo del pacco. Nella realtà, il vero DHL richiede il pagamento della consegna in anticipo, al momento dell’ordine. Laddove il cliente non riceve il corriere, viene effettuato un altro tentativo di consegna gratuito.
Secondo gli esperti, in questa truffa è improbabile che gli hacker inizino ad addebitare immediatamente la carta della vittima per evitare che quest’ultima colleghi gli addebiti all’e-mail fasulla di “DHL”. È più probabile che vendano sul dark web i dati di pagamento sottratti e che sia l’acquirente a trafugare i fondi in un secondo momento, quando la vittima potrebbe essersi già dimenticata del pacco inesistente.
https://www.kaspersky.it/blog/dhl-scam-with-qr-codes/26943/
