TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2018-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

07/09/2017 16:57:23 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di SETTEMBRE 2017...

 
Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di settembre 2017.

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
 

INDICE dei PHISHING

21/09/2017 => PostePay
18/09/2017 => Postepay
17/09/2017 => Ferrero
13/09/2017 => WeTransfer
07/09/2017 => PayPal

 

21 settembre 2017 ==> Phishing PostePay

OGGETTO:
<(#1663407) Avviso XX e PostePay.eml>

Questo nuovo tentativo di phishing si spaccia per una falsa comunicazione di PostePay.

Clicca per ingrandire l'immagine della falsa e-mail di POSTE ITALIANE, che cerca di rubare i codici della PostePay dell'ignaro ricevente
Il messaggio segnala al ricevente che dal 23 settembre 2017 verrà attivato il nuovo Sistema di Sicurezza Web che garantirebbe maggior affidabilità alle operazioni di pagamento online effettuate con la propria carta Postepay. Per poter usufruire di tale servizio è necessario scaricare il documento allegato "Documento_Cliente_
PostePay_120S739Ce3S62e31

e seguire le istruzioni.

In prima battuta notiamo che il testo dell'email è molto generico in quanto non contiene alcun dato identificativo di  Poste Italiane, se non la firma generica.
Tuttavia i cyber-criminali hanno avuto l'accortezza di inserire più volte il nominativo del destinatario dell'e-mail, in questo modo il testo potrebbe sembrare più veritiero.

Chi dovesse malauguratamente scaricare il documento allegato "Documento_Cliente_
PostePay_120S739Ce3S62e31.htm"
verrà indirizzato su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali nome utente e password. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Poste Italiane poichè è ospitato su un dominio anomalo.

Clicca per ingrandire l'immagine del FALSO form di autenticazione di Poste Italiane, che induce l'ignaro ricevente ad inserire i dati della sua carta PostePay
Infatti il sito internet riportato in calce

'''www.modanliraf.com/
id-sessione:1852134558/...''


non ha alcun legame con il sito web di Poste Italiane perchè risiede su un dominio anomalo.

L'assenza del protocollo HTTPS inoltre dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina

 
 

18 settembre 2017 ==> Phishing PostePay

«OGGETTO: <Aggiorna i tuoi recapiti !>

Questo phishing si cela dietro una falsa comunicazione di PostePay.

Clicca per ingrandire l'immagine della falsa e-mail di POSTE ITALIANE, che cerca di rubare i codici della PostePay dell'ignaro ricevente
Il messaggio segnala al ricevente l'opportunità di aderire al Sistema Sicurezza Web che garantirebbe maggior affidabilità alle operazioni di pagamento online effettuate con la propria carta Postepay.  Per poter usufruire di tale servizio è necessario cliccare su uno dei link riportati nella mail e convalidare i propri dati.

In prima battuta notiamo che l'indirizzo email del mittente è anomalo poichè non sembra aver alcun legame con il sito ufficiale di Poste Italiane.
Il messaggio inoltre contiene un testo molto generico. Si rivolge infatti ad un ''Gentile cliente'' non facendo alcun riferimento all'intestatario della carta PostePay oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Tutti questi elementi dovrebbero essere un chiaro segnale sull'inattendibilità della mail sebbene i cyber-criminali ideatori della truffa abbiano avuto l'accorgimento di inserire anche dei falsi dati identificativi di Poste Italiane

_____________________________________

(c) Poste italiane 2014 - Partita Iva 01114601006

Per rendere l'alert più credibile per di più sono stati inseriti i link di fondo | Trasparenza bancaria | Sicurezza | Privacy | che, se cliccati, rimandato effettivamente al sito ufficiale di Poste Italiane. Non possiamo dire lo stesso dei link riportati di seguito
  • link
  • Accesso ai Servizi Online
che, al contrario, dirottano su una pagina web che non ha nulla a che vedere con Poste Italiane.

Chi dovesse malauguratamente cliccare su di essi verrà indirizzato su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali nome utente e password. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Poste Italiane poichè è ospitato su un dominio anomalo.

Clicca per ingrandire l'immagine del FALSO form di autenticazione di Poste Italiane, che induce l'ignaro ricevente ad inserire i dati della sua carta PostePay
Infatti il sito internet riportato in calce

'''.......americanunfinished.com''


non ha alcun legame con il sito web di Poste Italiane perchè risiede su un dominio anomalo.

L'assenza del protocollo HTTPS inoltre dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina
 

17 settembre 2017 ==> Phishing Ferrero

«OGGETTO: < Vincitore regionale assortimento>

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di FERRERO.

Clicca per ingrandire l'immagine della falsa e-mail di FERRERO che offre la possibilità di vincere un barattolo di Nutella ma che in realtà è una TRUFFA!
II messaggio sollecita il ricevente ad usufruire dell'opportunità di vincere un barattolo da 5 Kg della Nutella. Per partecipare all'estrazione è neccessario continuare cliccando sul link Clicca qui per continuare!.
Chiaramente la nota azienda di commercio FERRERO  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che non è presente alcun riferimento identificativo che possa ricondurci all'azienda FERRERO, quali sede legale, partita IVA o eventuali recapiti telefonici. Il messaggio oltretutto non è firmato, anche se graficamente potrebbe trarre in inganno in quanto i cyber truffatori hanno avuto l'accortezza di inserire delle immagini della crema alle nocciole spalmabile più conosciuta al mondo.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente info(et)news(dot)premiepromozioni(dot)it che non proviene dal dominio reale di FERRERO ma da uno anomalo.

L'ignaro destinatario che, malauguratamente, dovesse premere sul link

''Clicca qui per continuare!''

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di FERRERO.

 La tab del broswer che si apre inviterà l'utente a rispondere ad un sondaggio che dovrebbe permettergli di vincere come premio un barattolo da 5 kg della Nutella.
Al termine del sondaggio il sito rimanda ad un FORM di autenticazione dove vengono richiesti dati sensibili.
Clicca per ingrandire l'immagine del falso sondaggio di FERRERO, che offre come premio un barattolo da 5 kg della Nutella ma che in realtà è una TRUFFA!
Come visualizzato nella videata in calce, possiamo notare facilmente che l'indirizzo sulla barra del broswer non ha nulla a che fare con FERRERO poichè è ospitato su un dominio anomalo e questo dovrebbe essere un chiaro segnale sull' inattendibilità del FORM.
Clicca per ingrandire l'immagine del falso FORM di autenticazione di FERRERO che invita l'utente ad inserire i suoi dati per poter partecipare all'estrazione del barattolo di Nutella ma che in realtà è una TRUFFA!

La pagina web di inserimento dati ha come indirizzo url

www(dot)chocopasta(dot)vouchervinci(dash)2792(dot)com...

che non è in nessun modo riconducibile a FERRERO.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina


 

13 settembre 2017 ==> Phishing Casella di Posta

«OGGETTO: < m.momolo@mail sent you a file via WeTransfer>


Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di WeTransfer, l'applicazione web che permette di scambiare file di grandi dimensioni direttamente dall'indirizzo e-mail di una persona.

Clicca per ingrandire l'immagine della falsa e-mail di WeTransfer che comunica al destinatario di aver ricevuto un file sulla sua casella di posta elettronica.
II messaggio invita il ricevente ad aprire il file che un certo Matteo Momolo gli ha inviato tramite WeTransfer cliccando sul link Review Files.
Chiaramente la web app WeTransfer  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che non è presente alcun riferimento identificativo che possa ricondurci all'azienda WeTransfer, quali sede legale, partita IVA o eventuali recapiti telefonici. Il messaggio oltretutto non è firmato.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente noreply@mail.com che non proviene dal dominio reale di WeTransfer.

L'ignaro destinatario che, malauguratamente, dovesse premere sul link

''Review Files''

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di WeTransfer.

 La tab del broswer che si apre inviterà l'utente a selezionare il proprio email provider per poter scaricare il file ricevuto tramite WeTransfer.

 
Clicca per ingrandire l'immagine della pagina web di WeTransfer, che richiede di selezionare il proprio provider email.
Selezionando, per esempio Gmail, si apre la falsa pagina di autenticazione di Google Account.
Possiamo notare facilmente che l'indirizzo sulla barra del broswer non ha nulla a che fare con Gmail poichè è ospitato su un dominio anomalo.
Clicca per ingrandire l'immagine del falso FORM di autenticazione di GOOGLE ACCOUNT, che invita l'utente ad inserire i suoi dati per poter scaricare il file ricevuto da WeTransfer, ma che in realtà è una TRUFFA!

La pagina web di inserimento dati ha come indirizzo url
 
leego.host/bb-themes/wtrs/home.html

che non è in nessun modo riconducibile a WeTransfer.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina


7 settembre 2017 ==> Phishing PayPal

«OGGETTO: <Il tuo conto è limitato>

Questo primo tentativo di phishing del mese di Settembre si spaccia per una falsa mail di PayPal.

Clicca per ingrandire l'immagine della falsa e-mail di PayPal, che cerca di rubare i codici della PayPal.
Il messaggio vuol far credere al malcapitato ricevente che si è verificato un problema con il suo conto PayPal e che alcune funzioni sono state limitate a seguito di presunte attività insolite sulla carta di credito collegata al conto. Per ripristinare le attività e rimuovere le limitazioni al conto è necessario cliccare sul seguente link: Vai al tuo conto PayPal.

Analizzando la mail notiamo che il messaggio è ben articolato e dettagliato, infatti, sono riportati i dati identificati e il logo di PayPal
A insospettirci è l'indirizzo del mittente, e il fatto che non siano riporatti i dati identificativi dell'intestatario del conto, al quanto anomalo per comunicazioni  ufficiali e autentiche di questo tipo.

Chi dovesse malauguratamente cliccare sul link Vai al tuo conto PayPal verrà indirizzato su una pagina WEB malevole, in cui vengono richiesti i codici della carta di credito collegata al conto PayPal. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale.

 
Clicca per ingrandire l'immagine del FALSO form di autenticazione di PayPal, che induce l'ignaro ricevente ad inserire i dati della carta di credito.
Come evidenziato nell'immagine qui a fianco il form di autenticazione simula quello originale.

Tuttavia l'indirizzo della pagina web non proviene dal dominio ufficiale di PayPal, questi siti temporanei sono infatti creati ad hoc per rubare dati sensisbili del malcapitato.

 
 
Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina




Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
03/08/2017 10:31:05 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2017...
06/07/2017 15:02:36 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2017...
06/06/2017 15:07:05 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2017...
03/05/2017 17:47:35 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2017...
06/04/2017 11:10:07 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2017...
01/03/2017 06:52:30 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2017...
06/02/2017 19:14:12 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2017...
02/01/2017 19:21:43 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2017...
01/12/2016 14:36:20 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2016...
02/11/2016 19:42:09 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2016...
02/10/2016 11:35:15 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2016...
03/09/2016 12:17:53 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2016...


Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza:
  • TG Soft rende disponibile Vir.IT eXplorer Lite liberamente utilizzabile sia in ambito privato che in ambito aziendale;
  • Vir.IT eXplorer Lite è stato specificatamente progettato per essere utilizzato ad integrazione di qualsiasi altro AV o Internet Security già presenti sul computer, senza doverli disinstallare o disabilitarne moduli, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità poichè la sicurezza non è mai abbastanza.
Vai alla pagina di download.

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.

Particolari ringraziamenti al Sig. Marco Mira per la fattiva collaborazione che ha voluto accordarci con l'invio di materiale per l'analisi.


Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 

C.R.A.M. Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina
 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283