Sarà capitato a tutti di ricevere nella propria casella di posta elettronica delle mail in cui si richiede di compilare moduli per ottenere rimborsi oppure richieste di reset delle proprie credenziali di login ad un sito web. Spesso i sistemi di filtro anti-spam bastano ad arginare questo tipo di attacchi informatici e relegare queste mail nella cartella della posta indesiderata. Purtroppo in questo caso non è stato sufficiente e persino l’intervento umano non è riuscito a scongiurare la truffa.
Infatti, il 20 marzo scorso, Damiano Achilli ha segnalato all’account Twitter ufficiale di TIM — il gruppo Telecom Italia per la telefonia mobile — una mail sospetta nella quale si richiedeva di compilare un modulo per un rimborso. I dubbi di Damiano erano legati ad alcuni palesi errori grammaticali nel corpo della mail, come potete vedere nell’immagine sotto che raffigura la mail che Damiano mi ha inoltrato.
Videos by VICE
L’account della TIM, però, non ha segnalato quella mail come una truffa, anzi, ne ha confermato l’autenticità. Fidandosi della risposta positiva, Damiano ha proseguito cliccando sul link ed inserendo i propri dati. La pagina che gli si è presentata davanti è la seguente:
È importante notare che nell’indirizzo della pagina web ci sono dei caratteri particolari:
data:text/html;hXXps[:]//http[:]//www[.]tim[.]it/browse/ricerca.jsp?Ntt=Richiedere+un+rimborso;base64
Questo indirizzo, seguito da altri caratteri di testo apparentemente incomprensibili all’occhio umano, è un caso di codifica base64 che permette di mascherare l’URL originale di un sito web e modificarlo con un altro testo. In questo caso l’utente vede il normale indirizzo del sito web TIM e può essere tratto in inganno. In questo caso, oltre alla richiesta dei propri dati personali, sono stati richiesti tutti i dati della carta.
Fulcro della vicenda è il comportamento dell’account Twitter di TIM che dopo aver preso il granchio ha cancellato il tweet di conferma dell’autenticità della mail di spam. Fortunatamente il team di D3Lab, azienda che si occupa di rilevamento e contrasto di fenomeni di phishing, ha recuperato il tweet rimosso e descritto in dettaglio il procedimento utilizzato.
Parlando in chat, Damiano mi ha confermato che TIM lo ha contattato tramite il suo servizio Social Care sia su Twitter che su Facebook, e l’azienda sta procedendo ad avviare una procedura di indennizzo, poiché a seguito di questa truffa gli sono stati sottratti 62,82€ dal conto — come testimonia lo screenshot che Damiano mi ha inviato in chat.
Questa vicenda conferma nuovamente la gravità e la pericolosità degli attacchi di phishing, attacchi che sono sempre più progettati in maniera eccellente e che possono mettere a rischio anche le vite umane, come nel caso degli attacchi contro gli attivisti che lottano per i diritti umani in stati autoritari.
Secondo i dati del rapporto 2017 del CLUSIT sulla sicurezza ICT in Italia, nel 2016 gli attacchi compiuti con tecniche di phishing e social engineering sono cresciuti del +1.166%. Si tratta di un aumento sconvolgente e che richiede quindi una maggiore attenzione e, soprattutto, delle campagne di comunicazione per informare ed istruire gli utenti su come difendersi.
Sebbene la pagina dedicata alla protezione contro il phishing di TIM includa l’avviso che le mail di phishing “sono spesso scritte in un italiano approssimativo e contengono inesattezze ed elementi ‘strani’ rispetto al formato usato tradizionalmente dall’ente simulato,” in questo caso il servizio clienti non è risultato all’altezza della situazione, sollevando quindi dubbi sull’effettiva preparazione degli assistenti per contrastare questo fenomeno.
Malgrado l’account TIM affermi, nel tweet di seguito riportato, di aver oscurato il sito malevolo, al momento della stesura di questo articolo è ancora possibile accedervi, sebbene Chrome e Firefox lo segnalino come malevole.
Inoltre, al momento non è stato possibile ricevere alcuna dichiarazione ufficiale da TIM al riguardo. L’unico riferimento disponibile è il seguente tweet:
Damiano sta avviando la procedura per sporgere denuncia alla polizia postale, e questa vicenda deve ricordarci, per l’ennesima volta, che puntare disperatamente i riflettori sugli attacchi hacker mirabolanti rischia di far perdere il contatto con la realtà. Gli attacchi di phishing sono la norma e rischiano di compromettere seriamente non solo singoli individui ma anche intere aziende.
Aggiorneremo l’articolo non appena avremo modo di parlare della questione con un portavoce di TIM.