Campagna di Phishing a tema MyKey di Intesa Sanpaolo: facciamo Attenzione

E' stata Individuata una nuova campagna di phishing a tema Intesa Sanpaolo, la quale si basa su un falso messaggio “Conferma utilizzo MyKey”. L’attacco, sfrutta delle e-mail fraudolente e colpisce tramite ingegneria sociale, per indurre le vittime a inserire le proprie credenziali e OTP su una pagina di login fake generata ad arte dai malintenzionati.

È stata individuata recentemente, una nuova campagna di phishing creata dai malintenzionati, che vuole impersonare il brand di Intesa Sanpaolo. Si tratta di una campagna in lingua italiana che si basa su un falso messaggio di “Conferma utilizzo MyKey”.

Questa nuova operazione, ai danni dei clienti della banca italiana, si inserisce in un più ampio contesto di frodi bancarie, le quali sfruttano l’ingegneria sociale per indurre le vittime a fornire le credenziali e i codici di autenticazione ai criminali informatici.

L’infrastruttura risulta costruita con precisione dagli attaccanti, elemento che suggerisce un livello organizzativo non improvvisato o comunque un uso intensivo dell’intelligenza artificiale generativa per costruire un sito “specchio” molto simile all’originale.

La campagna, analizzata da Salvatore Lombardo, viene diffusa tramite delle e-mail appositamente costruite che generano urgenza e preoccupazione (gancio classico nelle email di phishing bancario). Inoltre il riferimento a “MyKey” (il sistema di identità digitale di Intesa Sanpaolo), viene utilizzato come elemento distintivo di credibilità. Questo aumenta la “fiducia” verso l’utente, il quale viene indotto a credere che si tratti di una una verifica reale, per motivi di sicurezza riducendo la sua attenzione nello scovare link o eventuali incongruenze sospette nel messaggio.

L’analisi evidenzia l’utilizzo un dominio registrato per la campagna.

Questa scelta permette ai malintenzionati il pieno controllo dell’infrastruttura, inclusa la gestione dei certificati TLS ottenuti tramite servizi automatizzati come Let’s Encrypt e la logica applicativa lato backend.

Inoltre, l’impiego di domini di questa natura, garantisce maggiore flessibilità, permettendo la rotazione degli indirizzi e l’adozione di tecniche di evasione, per ridurre la rilevabilità dell’attività malevola.

Una volta cliccato nell’email, la vittima viene reindirizzata a una pagina che riproduce fedelmente l’interfaccia di accesso della banca.

Le pagine sono realizzate tramite phishing kit, le quali includono elementi grafici clonati dal sito originale e script per la raccolta automatica delle credenziali.

L’utente viene invitato a inserire il proprio username e la propria password e successivamente eventuali codici OTP, il punto più critico dell’operazione. Le informazioni vengono trasmesse in tempo reale agli attaccanti, tramite messaggi in HTTP POST, oltre agli endpoint da loro controllati, permettendo un accesso immediato al conto della vittima.

La segnalazione di abuso è già stata effettuata ai soggetti coinvolti, inclusa la banca e i provider interessati, ha portando ad un rapido oscuramento della campagna.

Ma questa operazione non sarà senza dubbio l’ultima. I kit di phishing vengono venduti in regime MaaS nelle underground criminali e consentono di ricreare un exosistema simile in pochissimo tempo. Pertanto anche se questo caso si è concluso positivamente, occorre sempre fare attenzione a situazioni analoghe che si possano presentare.

E quando su internet si parla di urgenza, paura e regali irresistibili, occorre subito fermarsi, respirare, e aumentare l’attenzione. Quasi sempre si tratta di una email malevola che deve essere archiviata nel cestino.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance