Il nostro paese è sempre più nell’occhio del ciclone per quanto riguarda gli attacchi informatici. A testimonianza di ciò, vi è una recente e inquietante scoperta del Threat Intelligence Team di D3Lab.
Attraverso le attività del servizio Brand Monitor, infatti, gli esperti hanno individuato diverse campagne phishing che prendono di mira Trenitalia e i suoi clienti. Le azioni criminali, individuate lo scorso 7 novembre per la prima volta, sfruttano alcuni domini appositamente creati con dei redirect verso un sito falso.
Questa piattaforma fittizia va a riprodurre nei minimi dettagli grafici il sito ufficiale di Trenitalia. All’interno del sito, viene riproposto tutto il percorso che porta un cliente ad acquistare un biglietto, con tanto di varie opzioni disponibili, tariffe e persino fantomatiche offerte.
Alle potenziali vittime della frode phishing, vengono richiesti dati sensibili come:
- Nome e cognome
- Posta elettronica
- Numero di telefono
oltre ad informazioni ancora più sensibili per il pagamento del biglietto.
Trenitalia e phishing: come agiscono i cybercriminali
Gli esperti di D3Lab fanno notare come, al momento di inserire dati sul portale fittizio, viene presentato un form alquanto sospetto, che presenta alcune frasi in lingua inglese.
I test hanno evidenziato come, in caso di pagamento, i dati raccolti dal form vengono inviati a uno specifico indirizzo (ovvero https://bknd[.]trenitalia[.]pro/backend-book/v1/bot_user/new_log).
In risposta all’invio dati, il sito ricevente offre un output di tipo “Данные успешно сохранены в MongoDB” (tradotto I dati sono stati salvati con successo su MongoDB), che lascerebbe intuire un’origine russofona dei cybercriminali.
Per chi intende prenotare un biglietto online presso il sito di Trenitalia, è bene ricordare come sia importante verificare sempre l’URL di un sito prima di effettuare una transazione o di inserire dati sensibili in un qualunque form.
Nel caso più specifico, ricordiamo come il sito di riferimento risulti www.trenitalia.com e dunque, eventuali varianti più o meno verosimili, sono con tutta probabilità siti Web illegittimi.