TG Soft Software House - Vir.IT eXplorer: l'AntiVirus, AntiSpyware e AntiMalware ITALIANO
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2017-04

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

06/07/2017 15:02:36 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di LUGLIO 2017...

 
Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di luglio 2017.

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
 

INDICE dei PHISHING

31/07/2017 => TIM
29/07/2017 => PosteItaliane
25/07/2017 => ING DIRECT
25/07/2017 => Postepay
22/07/2017 => Amazon
20/07/2017 => Alibaba
11/07/2017 => Apple
10/07/2017 => Poste Italiane
07/07/2017 => Amazon
06/07/2017 => Amazon (Eng)
03/07/2017 => Amazon
03/07/2017 => Netflix



31 luglio 2017 ==> Phishing TIM

«OGGETTO: <TIM: rimborso riferimento A8005W>

Il seguente tentativo di phishing si spaccia per finta email da parte di TIM.

Clicca per ingrandire l'immagine della falsa e-mail di TIM, che informa l'ignaro ricevente della possibilità di ricevere un rimborso,ma che in realtà è una TRUFFAL'e-mail informa il malcapitato ricevente che la fattura in oggetto risulta pagata 2 volte e che per ricevere il rimborso dell'importo di Euro 37,00, gli basterà cliccare sul link http://rimborso.tim.it.
A colpo d'occhio notiamo subito che l'indirizzo email del mittente newstim@newstim.it potrebbe trarre in inganno,ma la richiesta della mail, poco chiara e precisa dovrebbe quanto mai insospettirci. Il testo inoltre è estremamente generico e non riporta immagini del logo della nota compagnia telefonica, inoltre non contiene riferimenti del cliente a cui è intetsta la fattura della TIM oggetto dell'alert, diversamente da quanto avviene nella maggior parte delle comunicazioni ufficiali e autentiche di questo tipo.
Cliccando sul link:

http://rimborso.tim.it 

si verrà indirizzati su una pagina WEB malevole, in cui vengono richiesti i propri dati personali e i dati della carta di credito per ricevere il rimborso della fattura di Euro 37,00. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale.

Clicca per ingrandire l'immagine della falsa pagina web di TIM, che cerca di rubare i dati della carta di credito dell'ignaro ricevente.
Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di TIM, poichè è ospitato su un dominio anomalo.

"giovanbo.beget.tech/1/
30ccbe19c6a0db039a49ae7a689d916d/"

 
Bisogna riconoscere però che il form di autenticazione che simula quello di TIM, graficamente è ragionevolmente credibile.

Tutto questo per concludere che i dati eventualmente inseriti nel form fasullo non verranno trasmessi ai server di TIM ma ad un server remoto gestito da cyber-truffatori che se ne appropieranno con tutti i rischi annessi e connessi facilmente immaginabili.

Torna ad inizio pagina


29 luglio 2017 ==> Phishing PosteItaliane

«OGGETTO: <Notifica PostePay>

Questo ennesimo tentativo di phishing si spaccia per una falsa mail di Poste Italiane.

Clicca per ingrandire l'immagine della falsa e-mail di Poste Italiane, che cerca di rubare i codici della PostePay
Il messaggio vuol far credere al malcapitato ricevente che si è verificato un problema con i servizi online ed invita il cliente a verificare i dati cliccando sul link  https://securelogin.bp.poste.it/authentication.html e a seguire le istruzioni.

Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di Poste Italiane e contiene un testo generico. Non vi è infatti alcun riferimento sull'intestatario del conto on-line, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo. C'è da dire però che la presenza del protocollo HTTPS potrebbe trarre ininganno.

Chi dovesse malauguratamente cliccare sul link https://securelogin.bp.poste.it/authentication.html verrà indirizzato su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali nome utente e password. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Poste Italiane poichè è ospitato su un dominio anomalo.
 
Clicca per ingrandire l'immagine del FALSO form di autenticazione di Poste Italiane, che induce l'ignaro ricevente ad effettuare il login del suo account
Infatti il sito internet riportato in calce

''dein-entroster.de/pp/secureloginpostepay.it/
securelogin.postepay.it/''

sebbene graficamente ingannevole e molto simile a quello originale, non ha alcun legame con il sito web di Poste Italiane perchè risiede su un dominio anomalo.

 
 
Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina




25 luglio 2017 ==> Phishing ING DIRECT

«OGGETTO: < Procedura in sospeso - ''successioni di caratteri alfanumerici''>

Questo tentativo di phishing si spaccia per finta mail da parte di ING DIRECT.

Clicca per ingrandire l'immagine della falsa e-mail di ING DIRECT, che cerca di rubare le credenziali di accesso al conto corrente
Il messaggio di alert avvisa il malcapitato ricevente che la password del suo conto corrente online è scaduta e che è necessario sostituirla prima che il conto venga bloccato. Viene indicata quindi la procedura da seguire.

In prima battuta il messaggio potrebbe sembrare attendibile poichè graficamente è impostato in modo ordinato. I cyber-truffatori hanno avuto l'accortezza di inserire in capo  alla mail il logo di ING DIRECT per rendere l'alert più attendibile.

Osservando scrupolosamente lil messaggio si può tuttavia notare che l'indirizzo email del mittente è anomalo e che il testo, contenente notevoli errori sintattici, è indirizzato ad un generico ''Gentile Cliente'', non riportando nome e cognome del titolare del conto corrente.
Cliccando sul link ''Procedi per cambiare password'' si verrà indirizzati su una pagina web ''anomala'' che non ha nulla a che vedere con il sito web reale di ING DIRECT... Bisogna riconoscere che il form di autenticazione che simula quello di ING DIRECT, graficamente, è ragionevolmente credibile.
 
Tutto questo per concludere che i dati eventualmente inseriti nel form fasullo non verranno trasmessi ai server di ING DIRECT ma ad un server remoto gestito da cyber-truffatori che se ne appropieranno con tutti i rischi annessi e connessi facilmente immaginabili.
Torna ad inizio pagina




25 luglio 2017 ==> Phishing PostePay

«OGGETTO: <Avviso cliente e-PostePay>

Questo phishing si cela dietro una falsa comunicazione di PostePay.

Clicca per ingrandire l'immagine della falsa e-mail di POSTE ITALIANE, che cerca di rubare i codici della PostePay dell'ignaro ricevente
Il messaggio vuol far credere al malcapitato ricevente che dal 25 luglio non potrà più utilizzare il suo conto PostePay se non avrà attivato il nuovo Sistema di Sicurezza Web, funzionalità volta a garantire maggiore affidabilità alle operazioni di pagamento online. Per attivare il servizio è necessario accedere alla pagina web allegata e compilare il form di autenticazione.

In prima battuta notiamo che l'indirizzo email del mittente sembra provenire da un dominio ingannevole, molto simile a quello di PostePay.
Tuttavia il messaggio contiene un testo generico. Si rivolge infatti ad un ''Gentile cliente'' non facendo alcun riferimento all'intestatario della carta PostePay oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Lo scopo dell'alert è quello di indurre il ricevente ad aprire la pagina web in allegato e a compilare il FALSO form di autenticazione in locale che lo invita ad inserire i dati relativi alla sua carta PostePay quali nome utente, password, numero di telefono, codice fiscale e soprattutto numero della carta, scadenza e codice CVV2.

Clicca per ingrandire l'immagine del FALSO form di autenticazione di Poste Italiane, che induce l'ignaro ricevente ad inserire i dati della sua carta PostePay
La pagina web dove vengono indirizzati i dati del form è anomala e da questa, dopo che i dati sono stati archiviati in un dBase dei cyber-criminali, si viene dirottati sul sito ufficiale di Poste Italiane di modo che il malcapitato utente abbia l'impressione che tutta l'operazione di verifica sia stata eseguita con successo avendo l'impressione di essere rimasto sempre nell'ambito del sito/dominio ufficiale di Poste Italiane.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina




22 luglio 2017 ==> Phishing Amazon

«OGGETTO: < Aggiorna i tuoi recapiti Amazon>

Continuano i numerosi tentativi di phishing provenienti da false comunicazioni di AMAZON.

Sebbene nel caso analizzato di seguito, il il testo dell'e-mail si distingua dagli esempi visti in precedenza, l'obbiettivo dei cyber-criminali ideatori delle truffa resta, sempre e comunque, quello di rubare i dati sensibili dell'ignaro destinatario.

Clicca per ingrandire l'immagine della falsa e-mail di AMAZON che chiede di verificare i propri dati anagrafici
II messaggio informa il ricevente che, a seguito della nuova normativa in materia di prevenzione dei reati di riciclaggio, è necessario aggiornare i dati anagrafici, invitando quindi il destinatario a verificare i propri cliccando sul link  Accedi Ora.
Chiaramente la nota azienda di commercio AMAZON  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Nonostante ad un primo impatto visivo la mail possa sembrare quasi credibile, analizzando il testo notiamo fin da subito che non è presente alcun riferimento identificativo che possa ricondurci all'azienda AMAZON, quali sede legale, partita IVA o eventuali recapiti telefonici. I cyber-truffatori però hanno avuto l'accortezza di inserirei il noto logo di AMAZON, per trarre in inganno il malcapitato.
Inoltre, non vi sono riportati dati identificativi del titolare del conto Amazon, come avviene nelle comunicazioni ufficiali di questo tipo ma il messaggio si rivolge ad un generico ''Gentile cliente''

Chi dovesse malauguratamente cliccare sul link  Accedi Ora verrà indirizzato su una pagina WEB malevole, dove viene richiesto di effettuare l'accesso all'account AMAZON, inserendo le proprie credenziali ovvero nome utente e password.

Come evidenziato nell'immagine a sinistra, il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di AMAZON poichè è ospitato su un dominio anomalo:
 
www.hpp-amazon-it.www1.biz/login4/

Inserendo i dati di accesso all'account AMAZON su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili
 
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
 
Torna ad inizio pagina



20 luglio 2017 ==> Phishing Alibaba

«OGGETTO: <[Alibaba Inquiry Notification] Aleck Morgan has sent you an inquiry>


Questo tentativo di phishing giunge da una falsa comunicazione proveniente da Alibaba.

Clicca per ingrandire l'immagine della falsa e-mail di Alibaba, che cerca di rubare i codici di accesso al portale
Alibaba, il network di siti internet dedicati all'e-commerce che agisce soprattutto in Cina, sembrerebbe informare il destinatario, quale suo fantomatico venditore, che un acquirente (Aleck Morgan) ha richiesto, per il suo tramite, l'invio del catalogo prodotti. Il ricevente viene intimato a rispondere entro 24 ore dalla ricezione della mail poichè, in caso contrario, Alibaba procederà a raccomandare altri fornitori.  

Ad un primo impatto visivo il messaggio potrebbe essere forviante perchè impostato in modo ragionevolmente ordinato. In calce alla mail sono stati inseriti dei FALSI dati identificativi di Alibaba con lo scopo di rendere l'alert più attendibile rassicurando l'utente sulla genuinità della mail. Anche l'indirizzo email del mittente è ingannevole poichè sembrerebbe provenire apparentemente dal dominio di Alibaba.
Inoltre, per ingannare ulteriormente il destinatario alcuni link inseriti in calce alla mail rimandano effettivamente al sito ufficiale di Alibaba.

Lo scopo dei cyber-criminali ideatori della truffa è quello di indurre il destinatario a cliccare su uno dei due link

Reply Now               Manage Your Orders                   

che, ci preme precisarlo, rimandano entrambi ad una pagina che non è riconducibile al sito di Alibaba.

Clicca per ingrandire l'immagine del FALSO form di autenticazione di Alibaba, che induce l'ignaro ricevente ad inserire i codici di accesso al suo account
Nell'immagine notiamo che il form di autenticazione che induce l'utente ad inserire i codici di accesso al suo account Alibaba, seppur molto simile a quello reale (vedasi anche il titolo della Tab illusorio), non è ospitato sul dominio autentico di Alibaba. L'indirizzo URL sulla barra di navigazione, composto da una successione di caratteri alfanumerici dovrebbe insospettirci poichè non ha nulla a che vedere con il sito di Alibaba.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina



11 luglio 2017 ==> Phishing Apple

«OGGETTO: <Nu ''successione di numeri''>


Il tentativo di phishing seguente giunge da una finta email da parte di Apple.

Clicca per ingrandire l'immagine della falsa e-mail di APPLE, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso di Apple ID
Rispetto ai phishing Apple analizzati in precedenza possiamo innanzitutto notare che i cyber-truffatori si sono avvalsi di un layout diverso, sia dal punto di vista grafico che testuale.
Il messaggio, estremamente conciso, lascia intendere al ricevente che ci sia una verifica in sospeso sul suo account Apple e che sia necessario cliccare sul link ''Continua'' per approfondire.
Lo scopo è quello di indurre, con l'inganno, l'ignaro destinatario ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.

La mail di alert giunge da un indirizzo email <info(et)applecolour(dot)co(dot)uk> che, seppur ingannevole, non proviene dal dominio ufficiale di Apple. I cyber-criminali ideatori della truffa hanno avuto tuttavia l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.

L'intento è quello di portare il ricevente a cliccare sul link

>Continua


che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un  utente inesperto.

Clicca per ingrandire l'immagine della FALSO sito internet di APPLE, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso di Apple ID
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo / dominio che, nonostante sia molto siile a quello ufficiale non ha nulla a che fare con Apple. 

Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.


Clicca per ingrandire l'immagine della FALSA pagina web dove si viene dirottati cliccando sul link di fondo alla mail phishing, che non è in alcun modo riconducibile al sito ufficiale di Apple
Anche il link riportato nel fondo della mail

Possiamo aiutarti
!

rimanda ad una pagina web che non ha nulla a che vedere con Apple. Come visualizzato nell'immagine qui a fianco il sito web in cui si viene dirottati cliccando sul link non è in alcun modo riconducibile al sito ufficiale di Apple ma pare trattarsi di una simulazione del sito internet di Ryanair..


Torna ad inizio pagina



10 luglio 2017 ==> Phishing PosteItaliane

«OGGETTO: <14E1114E1 - La sua password e scaduta>

Questo nuovo tentativo di phishing si spaccia per una falsa mail di Poste Italiane.

Clicca per ingrandire l'immagine della falsa e-mail di Poste Italiane, che cerca di rubare i codici della PostePay
Il messaggio vuol far credere al malcapitato ricevente che si è verificato un problema con il suo conto ed invita il cliente a verificare i dati cliccando sul link  Procedura di attivazione e a seguire le istruzioni.

Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di Poste Italiane e contiene un testo generico. Non vi è infatti alcun riferimento sull'intestatario del conto on-line, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Chi dovesse malauguratamente cliccare sul link Procedura di attivazione verrà indirizzato su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali nome utente e password. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Poste Italiane poichè è ospitato su un dominio anomalo.
 
Clicca per ingrandire l'immagine del FALSO form di autenticazione di Poste Italiane, che induce l'ignaro ricevente ad effettuare il login del suo account
Infatti il sito internet riportato in calce

''8v6r2i7e6s.c3ingenieria.com/mobile/p2p/
pos/foo-autenticazione.php''


non ha alcun legame con il sito web di Poste Italiane perchè risiede su un dominio anomalo.

L'assenza del protocollo HTTPS inoltre dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.
 
Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina



07 luglio 2017 ==> Phishing Amazon

«OGGETTO: < Aggiorna i tuoi recapiti...>

Siamo già di fronte al terzo tentativo di phishing di questo mese, proveniente da una falsa comunicazione di AMAZON, il testo dell'e-mail anche in questo caso si distingue dai precedenti esempi, ma l'obbiettivo rimane sempre lo stesso, rubare i dati sensibili del destinatario.

Clicca per ingrandire l'immagine della falsa e-mail di AMAZON che chiede di verificare i propri dati anagrafici
II messaggio informa il ricevente che, a seguito della nuova normativa in materia di prevenzione dei reati di riciclaggio, è necessario verificare e tenere aggiornati i dati anagrafici della clientela, e quindi invita il destinatario a verificare i propri dati cliccando sul link  Accedi Ora.
Chiaramente la nota azienda di commercio AMAZON  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo notiamo che non è presente alcun riferimento identificativo che possa ricondurci all'azienda AMAZON, quali sede legale, partita IVA o eventuali recapiti telefonici. i cyber-truffatori però hanno avuto l'accortezza di inserirei il noto logo di Amazon, per trarre in inganno il malcapitato.
Inoltre, non vi sono riportati dati identificativi del titolare del conto Amazon, come avviene nelle comunicazioni ufficiali di questo tipo. 

Chi dovesse malauguratamente cliccare sul link  Accedi Ora verrà indirizzato su una pagina WEB malevole, in cui viene richiesta la registrazione online inserendo dati quali nome utente e password.

Come evidenziato nell'immagine, il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Amazon poichè è ospitato su un dominio anomalo:
 
www.amazon-ittaliane-2017.dynamic-dns.net/zmr08/

Inserendo i dati di accesso all'account Amazon su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili
 
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
 
Torna ad inizio pagina



06 luglio 2017 ==> Phishing Amazon

«OGGETTO: < Action Required: Pay your seller account balance>


Ecco un altro tentativo di phishing che proviene da una falsa comunicazione da parte di AMAZON, questa volta il testo dell'e-mail è in inglese.

Clicca per ingrandire l'immagine della falsa e-mail di AMAZON che chiede di verificare i dati della carta di credito
II messaggio informa il ricevente che il suo conto amazon è bloccato in quanto non risulta possibile caricare la carta di credito per i pagamenti online e invita l'utente a verificare i dati inseriti e aggiornarli.
Chiaramente la nota azienda di commercio AMAZON  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo notiamo che non è presente alcun riferimento identificativo che possa ricondurci all'azienda AMAZON, quali sede legale, partita IVA o eventuali recapiti telefonici. Il messaggio è firmato semplicemente da Amazon Services.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente seller-notification@amazon.com che non proviene dal dominio reale di AMAZON ma da uno anomalo. Inoltre, non vi sono riportati dati identificativi del titolare del conto Amazon.

Il messaggio vuol far credere al malcapitato ricevente che è stato riscontrato un errore nel suo account online e che è necessario verificare/confermare i dati relativi alla carta di credito cliccando sul link Seller Account information.

Chi dovesse malauguratamente cliccare sul link  Seller Account information verrà indirizzato su una pagina WEB malevole, in cui viene richiesta la registrazione online inserendo dati quali nome utente e password.

Come evidenziato nell'immagine, il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Amazon poichè è ospitato su un dominio anomalo:
 
kawanointl.com/.https/sellercentral.amazon.com
/ap/signin/...

Inserendo i dati di accesso all'account Amazon su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili
 
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
 
Torna ad inizio pagina
  


03 luglio 2017 ==> Phishing AMAZON

«OGGETTO: < ''nome destinatario'',il tuo buono é in attesa,non sei più interessato?>


Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di AMAZON.

Clicca per ingrandire l'immagine della falsa e-mail di AMAZON che offre la possibilità di vincere un buono di 1000€ ma in realtà è una TRUFFA!
II messaggio sollecita il ricevente ad usufruire dell'opportunità di vincere un buono AMAZON del valore di 1000€, il cui coupon sembrerebbe ancora non essere stato richiesto. Per partecipare all'estrazione è neccessario convalidare i propri dati cliccando sul link Clicca qui.
Chiaramente la nota azienda di commercio AMAZON  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che non è presente alcun riferimento identificativo che possa ricondurci all'azienda AMAZON, quali sede legale, partita IVA o eventuali recapiti telefonici. Il messaggio oltretutto non è firmato.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente info(et)bakeca(dot)it che non proviene dal dominio reale di AMAZON ma da uno anomalo.

L'ignaro destinatario che, malauguratamente, dovesse premere sul link

''Clicca qui''

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di AMAZON.

 La tab del broswer che si apre inviterà l'utente a rispondere ad un sondaggio che dovrebbe permettergli di vincere come premio un buono AMAZON dal valore di 1000€.
Viene fornito un tempo massimo per rispondere e successivamente si viene dirottati su un FORM di autenticazione per confermare i propri dati.
 
Clicca per ingrandire l'immagine del falso sondaggio di AMAZON, che offre come premio un buono dal valore di 1000€ ma che in realtà è una TRUFFA!
Come visualizzato nella videata in calce al termine del sondaggio il sito rimanda ad un FORM di autenticazione dove vengono richiesti dati sensibili.
Possiamo notare facilmente che l'indirizzo sulla barra del broswer non ha nulla a che fare con AMAZON poichè è ospitato su un dominio anomalo e questo dovrebbe essere un chiaro segnale sull' inattendibilità del FORM.
Clicca per ingrandire l'immagine del falso FORM di autenticazione di AMAZON, che invita l'utente ad inserire i suoi dati per poter partecipare all'estrazione del premio/buono di 1000€ ma che in realtà è una TRUFFA!

La pagina web di inserimento dati ha come indirizzo url
 
 www(dot)mondodipremi(dot)com.....

che non è in nessun modo riconducibile ad AMAZON.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina



03 luglio 2017 ==> Phishing Netflix

«OGGETTO: <NetFlix>

Questo nuovo tentativo di phishing si spaccia per finta email da parte di NetFlix, la nota azienda operante nella distribuzione via internet di film, serie tv e altri contenuti di intrattenimento.

Clicca per ingrandire l'immagine della falsa e-mail di NetFlix, che cerca di rubare i codici di accesso al conto corrente online dell'ignaro riceventeL'e-mail invita il malcapitato ricevente a verificare i dati della carta di credito inseriti nel proprio account onlne, entro 48h, in caso contrario l'account verrà bloccato e di conseguenza perderà il saldo a disposizione.
Tutto quello che il cliente deve fare è cliccare sul link Start the verification process here  e seguire le istruzioni.
A colpo d'occhio notiamo subito che l'indirizzo email del mittente admin@winners2005.onmicrosoft.com non sembrerebbe riconducibile al  dominio reale di NetFlix.
La richiesta della mail, poco chiara e precisa dovrebbe quanto mai insospettirci. Il testo inoltre è estremamente generico e non riporta i riferimenti della nota azienda quali sede legale, P.Iva, o contatti, ne tantomeno dati identificativi del destinatario dell'e-mail, diversamente da quanto avviene nella maggior parte delle comunicazioni ufficiali e autentiche di questo tipo.

Cliccando sul link:

Start the verification process here 

si verrà indirizzati su una pagina WEB malevole, in cui vengono richiesti i codici di accesso all'account online quali e-mail e password, come evidenziato nell'immagine qui sotto.
Clicca per ingrandire l'immagine della falsa pagina web di NetFlix, che cerca di rubare i codici di accesso all'account online dell'ignaro ricevente
Inoltre l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di NetFlix, poichè è ospitato su un dominio anomalo.

"https://www.besttangsel.com/temp/k/Log-in/net/flix/secure/info..."
 
Bisogna riconoscere però che il form di autenticazione che simula quello di NetFlix è graficamente ben impostato, e i cyber-truffatori hanno avuto anche l'accortezza di inserire il logo.

Tutto questo per concludere che i dati eventualmente inseriti nel form fasullo non verranno trasmessi ai server di NetFlix ma ad un server remoto gestito da cyber-truffatori che se ne appropieranno con tutti i rischi annessi e connessi facilmente immaginabili.

Torna ad inizio pagina



Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
06/06/2017 15:07:05 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2017...
03/05/2017 17:47:35 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2017...
06/04/2017 11:10:07 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2017...
01/03/2017 06:52:30 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2017...
06/02/2017 19:14:12 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2017...
02/01/2017 19:21:43 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2017...
01/12/2016 14:36:20 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2016...
02/11/2016 19:42:09 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2016...
02/10/2016 11:35:15 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2016...
03/09/2016 12:17:53 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2016...
01/08/2016 08:50:27 - Phishing: le frodi maggiormente diffuse nel mese di agosto 2016...
01/07/2016 12:24:06 - Phishing: le frodi maggiormente diffuse nel mese di luglio 2016...


Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza:
  • TG Soft rende disponibile Vir.IT eXplorer Lite liberamente utilizzabile sia in ambito privato che in ambito aziendale;
  • Vir.IT eXplorer Lite è stato specificatamente progettato per essere utilizzato ad integrazione di qualsiasi altro AV o Internet Security già presenti sul computer, senza doverli disinstallare o disabilitarne moduli, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità poichè la sicurezza non è mai abbastanza.
Vai alla pagina di download.

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.

Particolari ringraziamenti ai sigg. Lorenzo Malara e Marco Mira per la fattiva collaborazione che hanno voluto accordarci con l'invio di materiale per l'analisi.


Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 

C.R.A.M. Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina
 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimneto/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.a.s. - via Pitagora 11/B, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283