Coronavirus finder? Attenzione alla cybertruffa

InfoSec.news del 31 marzo 2020

Gli attacchi informatici a tema Coronavirus proseguono, e attualmente uno dei protagonisti, dopo una serie di segnalazioni ricevute dalla Spagna, è la nuova versione del trojan Ginp. Fino ad alcune settimane fa operava come un semplice banking trojan, sostituendo l’interfaccia del browser o di un’app di e-banking per carpire le credenziali di accesso e di autorizzazione per effettuare i trasferimenti di denaro sul conto del cybercriminale, attraverso una serie di operazioni (intercettazione di messaggi e comunicazioni, apertura backdoor, controllo del browser per inserire false interfacce di pagamento, etc.). Adesso, i dispositivi con il trojan Ginp mostrano all’utente una pagina chiamata “Coronavirus Finder” che indica la presenza di un numero di persone infette dal COVID-19 nelle aree vicine, e invita ad una sottoscrizione attraverso un modulo compilabile (molto simile a quello che si utilizza per pagare i servi di un’app) con i dati della propria carta di credito. L’esca consiste nella funzione avanzata dell’applicativo, offerta ad un prezzo contenuto, che consente di ricevere un’indicazione più precisa sulla localizzazione degli individui infetti.
Mossi dalla paura di entrare in contatto con persone infette e vista la somma esigua, gran parte degli utenti sono portati ad inserire senza eccessive cautele e riflessioni i dati richiesti per scoprire successivamente che non c’è stato alcun addebito e che dunque non possono accedere alle funzioni “avanzate” del Coronavirus Finder. Il problema però è che oramai i cybercriminali hanno avuto accesso a tutti i dati necessari per poter attingere in ogni momento a somme ben più cospicue rispetto a quelle della transazione non andata a buon fine, potendo così prosciugare il credito della carta o, nel peggiore dei casi, il conto corrente.
La campagna di criminale in corso si svolge ovviamente tramite i dispositivi infetti e fa leva sulla paura collettiva del contagio e sulla ricerca di un modo per evitare di essere contagiati. Inoltre, conta sulle più basse difese e cautele adottate da parte dell’utente medio vista la situazione di emergenza pandemica e la conseguente maggiore vulnerabilità.
La consapevolezza riguardante l’esistenza e il funzionamento di questi attacchi gioca un ruolo fondamentale, e come al solito sono raccomandate le cautele di base per evitare attacchi di phishing:

  • non cliccare su link ricevuti via SMS, e-mail, Whatsapp che portano a pagine esterne;
  • non scaricare allegati o contenuti senza prima verificarne la genuinità;
  • non inserire credenziali di accesso, dati personali, dati di pagamento all’interno di siti e/o moduli senza prima verificarne la genuinità;
  • gestire l’installazione di app (consentendo solo quella da store ufficiali) e le relative autorizzazioni di accesso (negando di default tutte le autorizzazioni);

oltre che, ovviamente, adottare, verificare e mantenere aggiornate le misure di sicurezza dei propri dispositivi.
Per quanto l’attività della campagna criminale è stata rilevata da utenti spagnoli, non è da escludere che si evolva in una dimensione di ben più ampia portata approfittando dei fattori di una “tempesta perfetta”: da un lato, la crescente paura del contagio; dall’altro, le promesse di sicurezza da parte di enti governativi nel provvedere all’attivazione di metodi di tracciamento degli individui infetti.

Commenti