Come i criminali usano LiveChat per rubare dati di carte di credito e informazioni personali

Introduzione: il nuovo volto del phishing

I criminali informatici hanno trovato un modo nuovo e particolarmente efficace per rubare i tuoi dati sensibili: abusare delle piattaforme di chat dal vivo come LiveChat fingendosi rappresentanti di PayPal e Amazon. A differenza delle email di phishing tradizionali, questi attacchi sfruttano interazioni in tempo reale che sembrano conversazioni autentiche con il supporto clienti, rendendo molto più difficile riconoscere la truffa. Se ricevi un messaggio da PayPal o Amazon che ti chiede di verificare il tuo account tramite una chat, non cliccare sui link e contatta direttamente l’azienda attraverso il sito ufficiale.

Come funzionano gli attacchi LiveChat

I ricercatori hanno identificato due principali vettori di attacco, entrambi caratterizzati da urgenza psicologica, imitazione di marchi affidabili e abuso della piattaforma LiveChat per convincere i clienti a divulgare informazioni riservate.

Primo vettore: la truffa del rimborso PayPal

La campagna inizia con un’email contraffatta che imita PayPal, promettendo un rimborso di 200 euro. L’email contiene un pulsante “Visualizza dettagli transazione” che reindirizza a una pagina LiveChat progettata per sembrare un’interazione autentica con il supporto PayPal. Durante la conversazione, l’operatore (un vero criminale che segue uno script) chiede di completare il processo di rimborso fornendo:

• Credenziali PayPal
• Codici di autenticazione a due fattori (MFA)
• Dettagli di fatturazione
• Data di nascita
• Informazioni complete della carta di credito

Secondo vettore: l’ordine in sospeso di Amazon

Il secondo attacco utilizza un’email generica senza branding specifico, affermando che un ordine è in sospeso e necessita conferma. Cliccando su “Visualizza aggiornamento”, la vittima accede a una pagina che richiede un indirizzo email per avviare una chat. A questo punto, un operatore si presenta come agente Amazon e inizia a richiedere informazioni personali aggiuntive. Il truffatore sostiene che un rimborso è disponibile ma mancano i dettagli della carta, chiedendo numero della carta, data di scadenza e codice CVC.

Perché questi attacchi sono così efficaci

A differenza del phishing tradizionale basato su email, la conversazione dal vivo crea un senso di fiducia e legittimità che disarma le vittime. L’interazione personale in tempo reale simula un vero servizio clienti, riducendo la cautela dell’utente e aumentando significativamente le probabilità di furto di credenziali e dati. I ricercatori notano che gli operatori utilizzano grammatica e punteggiatura scadenti, suggerendo che si tratta di persone vere che seguono script predefiniti, non bot automatizzati.

Questa tattica rappresenta un’evoluzione del vishing (phishing vocale), dove gli attaccanti usano ingegneria sociale e psicologia per ottenere accesso ai dati sensibili o addirittura al controllo remoto dei dispositivi tramite strumenti come AnyDesk.

Indicatori di allarme da riconoscere

Sebbene questi attacchi siano sofisticati, esistono segnali di avvertimento:

• Email non richieste che promettono rimborsi o confermano ordini che non hai effettuato
• Pressione immediata a cliccare link o avviare chat
• Richieste di informazioni sensibili tramite chat o email (PayPal e Amazon non lo faranno mai)
• URL sospetti che non corrispondono ai domini ufficiali
• Errori grammaticali nelle conversazioni di chat
• Richieste di codici MFA tramite canali non ufficiali

Come proteggerti

La difesa più efficace è non cliccare mai su link in email non richieste. Se ricevi una comunicazione sospetta da PayPal o Amazon:

1. Accedi direttamente al sito ufficiale digitando l’URL nel browser (non cliccando su link nell’email)
2. Controlla il tuo account per verificare se ci sono transazioni o problemi effettivi
3. Contatta il supporto ufficiale attraverso i canali verificati nel sito
4. Non fornire mai credenziali, dati bancari o codici MFA tramite link o chat non verificate
5. Segnala le email sospette a phishing@paypal.com o al servizio di segnalazione di Amazon

PayPal stessa sottolinea che non chiederà mai password via email o SMS, non richiederà dati di carte tramite link e non invierà mai link per rifiutare operazioni. Se ricevi simili richieste, è sicuramente una truffa.

Campagne correlate in corso

I ricercatori hanno segnalato che attacchi simili stanno prendendo di mira anche gli utenti di eBay, dove i truffatori inviano email contraffatte di PayPal dopo transazioni fittizie. In altri casi, i criminali sfruttano SMS spoofing per far apparire messaggi fraudolenti come se provenissero da Amazon, creando urgenza per cliccare su link malevoli.

Un’altra tattica comune riguarda i pagamenti tramite gift card: i truffatori cercano di convincerti a acquistare gift card Amazon o iTunes e fornire i codici, che poi vengono utilizzati prima che tu possa recuperare l’accesso all’account.

Technical Deep Dive

Dal punto di vista tecnico, questa campagna dimostra l’evoluzione delle tattiche di social engineering integrate con infrastrutture tecniche sofisticate.

Abuso della piattaforma LiveChat

I criminali sfruttano la legittimità di LiveChat come piattaforma riconosciuta per creare pagine di phishing hosted direttamente su server LiveChat o su domini che imitano la struttura di questi server. Questo approccio aumenta significativamente la credibilità percepita, poiché gli utenti vedono URL che contengono riferimenti a LiveChat o a domini che sembrano ufficiali.

Spoofing email e bypass DKIM

Come documentato negli attacchi PayPal, i criminali hanno dimostrato capacità di aggirare i controlli di sicurezza DKIM (DomainKeys Identified Mail). Una tattica osservata prevede l’aggiunta di un indirizzo email malevolo a un account PayPal legittimo, in modo che il messaggio di conferma venga inoltrato a una mailing list compromessa. Questo consente ai criminali di inviare email che superano i controlli di autenticazione standard.

Orchestrazione multi-fase

La campagna utilizza un approccio orchestrato in più fasi:

1. Fase 1: Email di esca con urgenza psicologica
2. Fase 2: Reindirizzamento a pagina LiveChat contraffatta
3. Fase 3: Raccolta credenziali di base
4. Fase 4: Richiesta di codici MFA
5. Fase 5: Raccolta di dati finanziari completi

Questa progressione è progettata per aumentare gradualmente il livello di fiducia della vittima, facendo sembrare ogni richiesta successiva come parte naturale del processo di verifica.

Indicatori di compromesso (IoC)

I difensori dovrebbero monitorare:

• Domini che imitano livechat.com o servizi di supporto ufficiali
• Indirizzi email con domini spoofati di PayPal o Amazon
• URL che contengono parametri sospetti di reindirizzamento
• Pagine ospitate su infrastrutture LiveChat legittime ma configurate per phishing
• Pattern di traffico verso servizi di accesso remoto come AnyDesk dopo interazioni LiveChat

Mitigazione tecnica

Le organizzazioni dovrebbero implementare:

• Autenticazione email avanzata: SPF, DKIM e DMARC rigorosamente configurati
• Sandboxing dei link: analisi in tempo reale di URL in email
• Threat intelligence: monitoraggio di domini e indirizzi IP utilizzati in campagne attive
• Analisi comportamentale: rilevamento di accessi anomali ai servizi di supporto
• Formazione degli utenti: educazione specifica su tattiche di social engineering via chat dal vivo

La difesa più efficace rimane la combinazione di analisi umana esperta, intelligence in tempo reale e segnalazioni degli utenti per identificare e bloccare gli attacchi in evoluzione prima che causino danno.

Fonte: https://www.darkreading.com/threat-intelligence/attackers-livechat-phish-credit-card-personal-data