Falso rimborso Enel Energia: nuova campagna phishing

Una nuova campagna di phishing è stata individuata sul territorio italiano che, fingendosi Enel Energia e sfruttando il tema di un finto rimborso, veicola l’utente tramite un link a un sito fake dell’azienda, in cui è richiesto l’inserimento dei dati sensibili in più passaggi con l’ovvio obiettivo di rubarli. Oltre alla sottrazione di dati, la campagna comporta un trasferimento inconsapevole di denaro verso gli attaccanti.

Sono collezionati elementi di diverso tipo: • informazioni sul sistema della vittima (IP, nazione, sistema operativo, ecc.); • credenziali di accesso di Enel (e-mail e password); • dati relativi alla carta di credito per l’erogazione del finto rimborso comprensivi del codice OTP. La mail che la potenziale vittima riceve sul presunto credito, in cui si invita ad aprire un link (Area Clienti) per riscuoterlo è come segue:

Da analisi effettuate su fonti aperte, si rilevano email di phishing inviate a caselle di posta personali o aziendali ma, tenuto conto della tipologia di truffa, non si esclude che possano essere utilizzati anche SMS di smishing, inviati direttamente allo smartphone della vittima.

Esempio della mail di phishing

La pagina di phishing viene mostrata alla vittima in seguito a un redirect dalla prima URL hxxps://enel-u.blogspot[.]com/ – contenuta nel testo dell’email – verso la seconda, hxxp://www.enel-u[.]com/oo/, che ospita la pagina in cui viene riprodotto il layout di “MyEnel”, il portale di accesso clienti di Enel Energia in cui inserire user e password.

Nella URL, oltre alle informazioni sul sistema della vittima (IP, countryCode e OS – ottenute attraverso una richiesta HTTP GET verso la pagina “enel-clienti.php” – è indicato nel parametro “token” lo User-Agent del browser con il quale la pagina sta interagendo (codificato in Base64).

Completato il processo, appare un form per un “Modulo di rimborso elettronico”, in cui vanno digitati i dati personali, quelli della carta di credito e il numero di telefono. Alla vittima viene poi richiesto di specificare un metodo di pagamento al fine di ricevere il falso rimborso:

Poi, viene chiesto di inserire il codice di conferma inviato tramite sms al numero indicato. A questo punto, l’interazione continua con la pagina d’attesa. Questa viene poi sostituita con “enel-otp.php”, che contiene il form necessario per l’inserimento dell’OTP inviato dall’istituto di credito della vittima o visualizzato dalla stessa sul generatore di codici.

Con l’inserimento del codice, trasmesso attraverso una richiesta POST verso la pagina PHP “enel-rd.php”, l’utente crede di procedere all’autorizzazione del finto rimborso, quando invece sta procedendo a un pagamento a beneficio dell’attaccante.

Gli attacchi phishing sono sempre più frequenti e vengono fatti in modalità da sembrare email credibili e legittime, è bene prestare molta attenzione all’inserimento delle proprie credenziali all’interno di portali a cui si accede seguendo link ricevuti sulla propria casella di posta o attraverso altri mezzi di comunicazione alternativi, anche se apparentemente riconducibili per layout a omologhi portali aziendali.