TG Soft Software House - Vir.IT eXplorer: l'AntiVirus, AntiSpyware e AntiMalware ITALIANO
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ICSA Lab ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2018-08

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

04/12/2018 09:10:21 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di DICEMBRE 2018...





Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di dicembre 2018.

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
 

INDICE dei PHISHING


10 Dicembre 2018 ==> CyberEstorsione => Sex Extortion minaccia via e-mail in cambio di un riscatto in Bitcoin

Negli ultimi giorni si sono rilevati diversi tentativi di truffa via mail, legati alla campagna di SPAM, già rilevata nel corso dei mesi scorsi dal nostro Centro Ricerche Anti-Malware, veicolati dalla minaccia di divulgare un video privato per tentare una estorsione in denaro (Bitcoin).

L' e-mail, che ritroviamo in lingua inglese o in lingua italiana, di cui vi riportiamo alcuni esempi, minaccia l'utente di divulgare un suo video privato mentre guarda siti per adulti, e gli propone un'offerta per non divulgare tra i suoi contatti mail e social il suo video privato invitandolo a pagare una somma di denaro in Bitcoin.

Va notato che il cybercriminale sostiene di possedere la password utilizzata dall'utente sul suo account di posta elettronica, questo induce molti malcapitati a credere a ciò che viene poi riportato, credendo che il suo dispositivo sia stato violato. La tecnica in realtà è quella di sfruttare le password provenienti da Leak (furto di dati) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.) approfittando dell'abitudine avventata, ma spesso molto comune, di utilizzare la stessa password per servizi Web differenti.

In tutti gli esempi analizzati ritroviamo un filo conduttore, i testi dell' e-mail sono particolarmenti dettagliati in quanto viene indicato il modo in cui il dispositivo è stato hackerato e in alcuni casi anche il periodo, il virus installato oltrettutto è dotato di un avviso automatico che avverte il cybercriminale quando l'e-mail viene aperta, e da quel momento il malcapitato ha tempo in genere 48 ore per pagare. Viene quindi indicato il wallet per il pagamento in Bitcoin e indicazioni su come trasferire denaro a un portafoglio bitcoin.

L'obbiettivo di questa TRUFFA è ovviamente quello di estorcere una somma in denaro con una transazione in Bitcoin, che può variare come abbiamo visto nei messaggi che circolano in questi mesi da 300 $ ai 2000 $ fino a 7000 $.

06 Dicembre 2018: "il tuo account è stato violato! Cambia la tua password immediatamente!"


Nell'immagine di lato, riportiamo il messaggio (in lingua itaiana) del tentativo di TRUFFA chiamato SCAM legato alla Sex Extortion, che richiede un riscatto di 254€ in cambio il cybercriminale non metterà in circolazione un video privato.

Verificando il wallet indicato per il pagamento del riscatto: "XXXXXXXXXXXDR5XXXXXXXXXXXX" ad oggi 13/12/2018 risultano esserci 13 transazioni in ingresso pari a Euro 4841,57.
Clicca per ingrandire l'immagine del tentativo di RICATTO VIA E-MAIL, che minaccia di inviare un video di te mentre guardi SITI x Adulti

07 Dicembre 2018: "Hy my victim! I recorded you masturbating! I have captured."


Nell'immagine di lato, riportiamo il messaggio questa volta in lingua inglese, ma rivolto a destinatari italiani, dell'ennesimo tentativo di TRUFFA legato alla Sex Extortion, che richiede un riscatto di 800 Euro in Bitcoin.
Il cybercriminale nel messaggio avverte il malcapitato che qualsiasi tentativo di denuncia sarebbe invano, il criminale non abita in Italia e per localizzarlo ci vorebbero 9 mesi, ignorando il messaggio la sua vita potrebbe essere rovinata.
Clicca per ingrandire l'immagine del tentativo di RICATTO VIA E-MAIL, che minaccia di inviare un video di te mentre guardi SITI x Adulti

Verificando il wallet indicato per il pagamento del riscatto: "3PVXXXXXXXXXXXXXXXXXXXXXXXSimv" ad oggi 13/12/2018 non risultano esserci transazioni in ingresso.

07 Dicembre 2018: "Verify#xxxxx! I really recommend you to read this letter, simply to ensure nothing could occur."

Nell'immagine di lato, riportiamo il messaggio in lingua inglese di un altro tentativo di ricatto legato alla Sex Extortion, che questa volta non sembrerebbe rivolto ad un target italiano, in quanto il cyber criminale sostiene di provenire dalla Bielorussia.

Sono un hacker che ha violato la tua posta elettronica e il tuo sistema un paio di settimane fa. Hai digitato una password su suna delle pagine internet che hai visitato e così l'ho intercettata. Non provare a contattarmi o a metterti in contatto dato che ho inviato questo messaggio dal tuo account personale. Ho mantenuto tutti i tuoi contatti e la cronologia dei siti che visiti...supponiamo che io abbia inserito il virus su un sito web per adulti che hai visitato e che io abbia un video di te mentre guardi video per adulti. Secondo la mia opinione 1800 usd sono abbastanza per non far circolare questo video tra i tuoi contatti. Hai un giorno per pagare.
Clicca per ingrandire l'immagine del tentativo di RICATTO VIA E-MAIL, che minaccia di inviare un video di te mentre guardi SITI x Adulti


Verificando il wallet indicato per il pagamento del riscatto: "157XXXXXXXXXXXXXXXXXXXXXXXSk" ad oggi 13/12/2018 non risultano esserci transazioni in ingresso.

10 Dicembre 2018: "Security Notice. XXXXXXX was hacked! Change your password now!"

Nell'immagine di lato, riportiamo il messaggio in lingua inglese dell'ennesimo tentativo di ricatto legato alla Sex Extortion. Sono uno svilupattore di software spyware. Il tuo account è stato violato nell'estate del 2018. Capisco che è difficile da credere ma ecco la mia prova: Ti ho inviato questa e-mail dal tuo account.

L'hacking è stato effettuato utilizzando una vulnerabilità hardware...Ho aggirato il sistema di sicurezza nel router, ho installato un exploit lì. Quando sei andato online, il mio exploit ha scaricato il mio rootkit sul tuo dispositivo. Da allora ti ho seguito, posso vedere tutto ciò che fai, visualizzare e scaricare i tuoi file e tutti i dati personali. Ho anche accesso alla fotocamera sul tuo dispositivo e periodicamente faccio foto e video con te.
Al momento, ho raccolto un video su di te...Ho salvato tutte le tue e-mail e chat dai tuoi contatti messanger. Ho anche salvato l'intera cronologia dei siti che visiti.... conosco la tua vita segreta, che ti stai nascondendo da tutti. Ho scattato foto e video dei tuoi passatempi... Quindi, per il business sono sicuro che non vuoi mostrare questi file a tutti i tuoi contatti."
Clicca per ingrandire l'immagine del tentativo di RICATTO VIA E-MAIL, che minaccia di inviare un video di te mentre guardi SITI x Adulti

La somma richiesta questa volta è di 704 $, verificando il wallet indicato per il pagamento del riscatto: "XXXXXXXXXX7EhXXXXXXXXXXXXX" ad oggi 13/12/2018 risultano esserci 3 transazioni in ingresso per un totale di 2157,62 dollari, pari a 1901,66 Euro.

Come proteggere i tuoi dati dai tentativi di truffa informatica...

Vi invitiamo sempre a diffidare da qualunque e-mail che Vi intima a pagare somme di denaro sotto ricatto e a NON pagare nessuna cifra di denaro  in quanto non vi assicurerebbe di bloccare la minaccia.

Quello che invece Vi consigliamo di fare è di cambiare tempestivamente la password di accesso alla posta elettronica, infatti la cosa che dovrebbe più allarmarci è la tecnica utilizzata per inviare queste e-mail di SPAM, che sembrerebbero inviate dallo stesso account di posta elettronica del destinatario, questo significa che i truffatori sono venuti in possesso della Vostra password di accesso al servizio di posta elettronica e presumibilmente anche di altri account, ad esempio dei Social.
Se sospetti di essere venuto in contatto con virus, spyware, ransomware o più in generale malware di nuova generazione, come anche mail di potenziale malspam, phishing, e volete analizzare lo stato di compromissione dei Vostri PC, potete inviare gratuitamente il materiale da analizzare al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft .
Centro Ricerche Anti-Malware di TG Soft

Fate quindi attenzione a non utilizzare le stesse password quando vi iscrivete a diversi tipi di siti/servizi web, in particolare usate password diverse per i servizi sensibili (come l'homebanking, la posta elettronica...), in quanto rischiate di fornire la vostra password su siti poco affidabili che verrebbero facilmente utilizzati per scopi criminali. Sarebbe buona norma quindi differenziare le password usate per ogni sito/servizio web e modificarle sistematicamente.

Torna ad inizio pagina
 

7 Dicembre 2018 ==> Phishing Poste Italiane

«OGGETTO: <xxxxxxx, abbiamo bloccato il tuo postepay>

Ecco un nuovo tentativo di phishing che si spaccia per una falsa mail di Poste Italiane.

Clicca per ingrandire l'immagine della falsa e-mail di Poste Italiane, che cerca di rubare le credenziali di accesso all'account.
Il messaggio informa il cliente che sono state rilevate attività insolite relative al suo account, e quindi come misura di sicurezza sono state limitate alcune funzioni come pagamenti online, trasferimenti bancari e prelievi di denaro. Per ripristinare l'account è necessario confermare la propria identità, cliccando sul seguente link sicuro:

Accedi al collegamento sicuro

Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di Poste Italiane <info(dot)29490(at)bancoposte(dot)it> e contiene un testo estremamente generico. Inoltre non vi è riportato alcun logo e non vi è alcun riferimento sull'intestatario del conto di Poste Italiane, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Chi dovesse malauguratamente cliccare sul link
Accedi al collegamento sicuro  verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito di Poste Italiane poichè è ospitato su un dominio anomalo e che è già stato segnalato come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

Torna ad inizio pagina

7 Dicembre 2018 ==> Phishing Intesa Sanpaolo

«OGGETTO: <Per continuare a utilizzare i nostri servizi è necessario simulare in questo momento>

Questo ennesimo tentativo di phishing giunge da una finta e-mail da parte di Intesa Sanpaolo.

Clicca per ingrandire l'immagine della falsa e-mail di INTESA SANPAOLO, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso al suo account.
Il messaggio segnala all'ignaro ricevente che è stato sospeso il suo account per questioni di sicurezza e lo invita quindi a convalidare le informazioni del suo account entro 48 ore, per proteggere l apropria identità. Per procedere alla convalida dei dati è sufficiente cliccare sul seguente link:

PROCEDI

Il messaggio di alert giunge da un indirizzo email <2y3pr9(at)birrificio(dot)it> estraneo al dominio di Intesa Sanpaolo e contiene un testo che, oltre ad essere estremamente scarno e conciso, è molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente.

L'intento è quello di portare il ricevente a cliccare sul link:

PROCEDI

che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Intesa Sanpaolo ma che, come si può vedere dall' immagine sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
 
A colpo d'occhio la pagina web dove si viene dirottati sembra attendibile, soprattutto grazie agli accorgimenti grafici utilizzati che possono trarre in inganno l'utente. Addirittura in fondo alla pagina sono stati riportati in modo similare, gli stessi dati che si trovano anche nella pagina ufficiale di Intesa Sanpaolo.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che non ha nulla a che fare con Intesa Sanpaolo, come si può notare dall'immagine di lato, e che riportiamo di seguito:

drtrivediscosmodent[.]com/ins/LogIn[.]html
 
Inserendo i dati di accesso all'account Intesa Sanpaolo su questo FORM per effettuare l'accesso al conto corrente, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
 
Torna ad inizio pagina


6 Dicembre 2018 ==> Phishing Aruba: "Sospensione del dominio"

OGGETTO: <Sospensione del dominio XXXXXXXX>

Questo ennesimo tentativo di phishing si spaccia per una falsa comunicazione proveniente da ARUBA.
 
Clicca per ingrandire l'immagine della falsa e-mail di ARUBA, che cerca di rubare i dati della carta di credito dell'ignaro ricevente.
Il messaggio segnala al ricevente che il suo dominio sta per essere sopseso in quanto non è stato possibile effettuare il rinnovo automatico. Invita quindi il malcapitato a rinnovare il suo dominio, procedendo con il pagamento entro 24 ore. La procedura è semplice, basta cliccare sul seguente link:

http://pagamenti[.]aruba[.]it-XXXXXXX[.]lerelaisdelachaisebleue[.]com/ar/?XXXXXXXX

In prima battuta notiamo che il testo dell'e-mail è molto generico in quanto non contiene nessun riferimento del cliente.

Attenzione all'indirizzo e-mail del mittente che proviene da un indirizzo che potrebbe trarre in inganno in quanto sembrerebbe provenire dal dominio di  ARUBA <comunicazioni(at)staff(dot)aruba(dot)it>, inoltre per rendere il tutto più credibile, viene riportato in calce all'e-mail alcuni dati identificativi di ARUBA, come il sito internet e la partita Iva, quest' ultima però risulta essere sbagliata.

Chi dovesse malauguratamente cliccare sul link http://pagamenti[.]aruba[.]it-XXXXXXX[.]lerelaisdelachaisebleue[.]com/ar/?XXXXXXXX verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito ufficiale di  ARUBA poichè è ospitato su un dominio anomalo e che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
Torna ad inizio pagina 


4 Dicembre 2018 ==> Phishing Intesa Sanpaolo "Bonifico europeo sospetto"

«OGGETTO: <Notifica! Bonifico sospetto in corso - INT : 6220>

Questo nuovo tentativo di phishing giunge da una finta email da parte di Intesa Sanpaolo.

Clicca per ingrandire l'immagine della falsa e-mail di INTESA SANPAOLO, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso al conto corrente.
Il messaggio segnala all'ignaro ricevente che è stato riscontrato un bonifico europeo sospetto dal suo conto. Nel caso in cui il bonifico non fosse autorizzato lo invita ad annullare l'operazione dal seguente link, in caso contrario di ignorare il presente messaggio:

https://www[.]intesasanpaolo[.]it/verifica/login?annullaOTS=878879&email=*****

Il messaggio di alert giunge da un indirizzo email nascosto, possiamo però notare che il testo oltre ad essere estremamente scarno e conciso, è molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente, così come nessun dato identificativo di Intesa Sanpaolo, il messaggio infatti non è firmato.
L'intento è quello di portare il ricevente a cliccare sul link:

https://www[.]intesasanpaolo[.]it/verifica/login?annullaOTS=878879&email=*****

che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Intesa Sanpaolo ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali...

Torna ad inizio pagina

4 Dicembre 2018 ==> Phishing Intesa Sanpaolo

«OGGETTO: <Per continuare a utilizzare i nostri servizi è necessario simulare in questo momento>

Questo nuovo tentativo di phishing giunge da una finta email da parte di Intesa Sanpaolo.

Clicca per ingrandire l'immagine della falsa e-mail di INTESA SANPAOLO, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso al suo account.
Il messaggio segnala all'ignaro ricevente che è stato sospeso il suo account per questioni di sicurezza e lo invita quindi a convalidar ele informazioni del suo account entro 48 ore, per proteggere l apropria identità. Per procedere alla convalida dei dati è sufficiente cliccare sul seguente link:

PROCEDI

Il messaggio di alert giunge da un indirizzo email <info(at)dtsofthcm(dot)com> estraneo al dominio di Intesa Sanpaolo e contiene un testo che, oltre ad essere estremamente scarno e conciso, è molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente.

L'intento è quello di portare il ricevente a cliccare sul link:

PROCEDI

che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Intesa Sanpaolo ma che, come si può vedere dall' immagine sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
 
A colpo d'occhio la pagina web dove si viene dirottati sembra attendibile, soprattutto grazie agli accorgimenti grafici utilizzati che possono trarre in inganno l'utente. Addirittura in fondo alla pagina sono stati riportati in modo similare, gli stessi dati che si trovano anche nella pagina ufficiale di Intesa Sanpaolo.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che non ha nulla a che fare con Intesa Sanpaolo, come si può notare dall'immagine di lato, e che riportiamo di seguito:

brwtruckrepair[.]com/inz/LogIn[.]html
 
Inserendo i dati di accesso all'account Intesa Sanpaolo su questo FORM per effettuare l'accesso al conto corrente, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
 
Torna ad inizio pagina

3 Dicembre 2018 ==> Phishing Apple

«OGGETTO: <Il tuo ID Apple e stato utilizzato per accedere a iCloud da un browser web>

Ecco un altro tentativo di phishing che si spaccia per una finta email da parte di Apple.

Clicca per ingrandire l'immagine della falsa e-mail di APPLE, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso di Apple ID.
Il messaggio, estremamente conciso, avverte il ricevente che il suo Apple ID è stato utilizzato per effettuare un tentativo dfi accesso a iCloud da un altro browser, e per completezza vengono indicati il luogo e anche il giorno e l'orario in cui è stato registrato l'accesso.  Quindi invita il destinatario a verificare le informazioni inserite nel suo Apple ID nel caso in cui non riconosca il tentativo di accesso segnalato, cliccando sul link ''Il mio ID Apple'' per approfondire.
Lo scopo è quello di indurre, con l'inganno, l'ignaro destinatario ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.

La mail di alert giunge da un indirizzo email <do_not(at)replay(dot)jp> che, non proviene dal dominio ufficiale di Apple. I cyber-criminali ideatori della truffa hanno avuto tuttavia l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.

L'intento è quello di portare il ricevente a cliccare sul link

Il mio ID Apple

 
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con Apple...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:

https://api[.]bicibague[.]com/media/date/IT/Login[.]php?....
 
Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
 
Torna ad inizio pagina

 

3 Dicembre 2018 ==> Phishing Aruba: "Il servizio verrà sospeso tra 48 ore"

OGGETTO: <[URGENTE: Fatturazione] (ar#219452) Il servizio verrà sospeso tra 48 ore>

Questo ennesimo tentativo di phishing si spaccia per una falsa comunicazione proveniente da ARUBA.
 
Clicca per ingrandire l'immagine della falsa e-mail di ARUBA, che cerca di rubare i dati della carta di credito dell'ignaro ricevente.
Il messaggio segnala al ricevente che non è stato possibile eseguire il rinnovo automatico del servizio  AR-1204-9831, in quanto è fallito il tentativo di addebito di Euro 9,99 sul suo account. Invita quindi il malcapitato a rinnovare il suo dominio entro il 5 dicembre, accedendo alla sua area riservata, da dove potrà effettuare un nuovo tentativo di pagamento oppure modificare il metodo di pagamento. La procedura è semplice, basta cliccare sul seguente link per accedere alla propria area:

Area Clienti

In prima battuta notiamo che il testo dell'e-mail è molto generico in quanto non contiene nessun riferimento del cliente, tuttavia per rendere il messaggio più attendibile il cybercriminale ha inserito in calce al messaggio dei presunti dati identificativi di ARUBA come la Partita Iva, e un'informativa su come disiscreversi dal servizio indirizzata all'indirizzo e-mail del malcapitato.

Attenzione all'indirizzo e-mail del mittente che proviene da un indirizzo che potrebbe trarre in inganno in quanto sembrerebbe provenire dal dominio di  ARUBA <admin(at)arubafatture(dot)com>, il link indicato dirotta tuttavia su una pagina web che ha un indirizzo url che non è riconducibile al dominio ufficiale di ARUBA.

Chi dovesse malauguratamente cliccare sul link Area Clienti verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito ufficiale di  ARUBA poichè è ospitato su un dominio anomalo e che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
 
Torna ad inizio pagina

 

3 Dicembre 2018 ==> CyberEstorsione => Sextortion minaccia via e-mail in cambio di un riscatto in Bitcoin

Anche questo mese si ripresenta il tentativo di ricatto via mail  per tentare una estorsione in denaro (Bitcoin) con la minaccia di divulgare un video privato...fate attenzione e non cedete a questi ricatti!!

L' e-mail, che ritroviamo in lingua inglese, minaccia l'utente di divulgare un suo video privato mentre guarda siti per adulti,, e gli propone un'offerta per non divulgare tra i suoi contatti mail e social il suo video privato invitandolo a pagare $974.

Cosa recita il messaggio di SCAM

Nell'immagine di lato, riportiamo il messaggio (in lingua inglese) del tentativo di TRUFFA chiamato SCAM, che di seguito riassumiamo:

"Sono uno svilupattore di software spyware. Il tuo account è stato violato nell'estate del 2018. Capisco che è difficile da credere ma ecco la mia prova: Ti ho inviato questa e-mail dal tuo account. L'hacking è stato effettuato utilizzando una vulnerabilità hardware...Ho aggirato il sistema di sicurezza nel router, ho installato un exploit lì. Quando sei andato online, il mio exploit ha scaricato il mio rootkit sul tuo dispositivo.
Da allora ti ho seguito, posso vedere tutto ciò che fai, visualizzare e scaricare i tuoi file e tutti i dati personali. Ho anche accesso alla fotocamera sul tuo dispositivo e periodicamente faccio foto e video con te.
Al momento, ho raccolto un video su di te...Ho salvato tutte le tue e-mail e chat dai tuoi contatti messanger. Ho anche salvato l'intera cronologia dei siti che visiti.... conosco la tua vita segreta, che ti stai nascondendo da tutti. Ho scattato foto e video dei tuoi passatempi... Quindi, per il business sono sicuro che non vuoi mostrare questi file a tutti i tuoi contatti."
Clicca per ingrandire l'immagine del tentativo di RICATTO VIA E-MAIL, che minaccia di inviare un video di te mentre guardi SITI x Adulti

Va notato che il cybercriminale sostiene di possedere la password utilizzata dall'utente sul suo account di posta elettronica.
Questo è uno dei motivi che chi riceve il messaggio crede a quello che viene poi riportato dal cybercriminale, credendo che abbia avuto accesso al proprio dispositivo. La tecnica in realtà è quella di sfruttare le password provenienti da Leak (furto di dati) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.) approfittando dell'abitudine avventata, ma spesso molto comune, di utilizzare la stessa password per servizi Web differenti.
 
Il testo del messaggio è particolarmente dettagliato in quanto viene indicato il modo in cui il dispositivo è stato hackerato, il virus installato oltrettutto è dotato di un avviso automatico che avverte il cybercriminale quando l'e-mail viene aperta, e da quel momento il malcapitato ha tempo 48 ore per pagare. Viene quindi indicato il wallet per il pagamento in Bitcoin e dove trovare le istruzioni su "come trasferire denaro a un portafoglio bitcoin".

Infine è lo stesso cybercriminale che lascia un consiglio al malcapitato "Ti consiglio di essere prudente..."

E il riscatto... Qualcuno ha pagato?

Il malcapitato destinatario alla ricezione del messaggio può decidere, di ignorarlo con il rischio che il presunto video venga messo in circolazione tra i suoi contatti oppure pagare la somma richiesta di $ 974 in cambio il video verrà eliminato. Per pagare inoltre ha tempo 48 ore altrimenti il video verrà messo in circolazione.
L'obbiettivo di questa TRUFFA è ovviamente quello di estorcere una somma in denaro con una transazione in Bitcoin (che può variare come abbiamo visto nei messaggi che circolano in questi mesi da 300 $ ai 2000 $ fino a 7000 $).

Verificando il wallet indicato per il pagamento del riscatto: "XXXXXXXXXXXXXXXXXXXXXXXXx3M" ad oggi 05/12/2018 non risultano esserci transazioni in ingresso.

Come proteggere i tuoi dati dai tentativi di truffa informatica...

Vi invitiamo sempre a diffidare da qualunque e-mail che Vi intima a pagare grosse somme di denaro sotto ricatto e a NON pagare nessuna cifra di denaro  in quanto non vi assicurerebbe di bloccare la minaccia.

Quello che invece Vi consigliamo di fare è di cambiare tempestivamente la password di accesso alla posta elettronica, infatti la cosa che dovrebbe più allarmarci è l'oggetto del messaggio che nasconde la nostra password di accesso al servizio di posta elettronica, questo significa che i truffatori sono venuti in possesso della Vostra password di accesso al servizio di posta elettronica e presumibilmente anche di altri account, ad esempio dei Social.
Se sospetti di essere venuto in contatto con virus, spyware, ransomware o più in generale malware di nuova generazione, come anche mail di potenziale malspam, phishing, e volete analizzare lo stato di compromissione dei Vostri PC, potete inviare gratuitamente il materiale da analizzare al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft .
Centro Ricerche Anti-Malware di TG Soft

Fate quindi attenzione a non utilizzare le stesse password quando vi iscrivete a diversi tipi di siti/servizi web, in particolare usate password diverse per i servizi sensibili (come l'homebanking, la posta elettronica...), in quanto rischiate di fornire la vostra password su siti poco affidabili che verrebbero facilmente utilizzati per scopi criminali. Sarebbe buona norma quindi differenziare le password usate per ogni sito/servizio web e modificarle sistematicamente.

Torna ad inizio pagina
 
 

Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
08/11/2018 11:37:10 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2018...
04/10/2018 17:22:49 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2018...
03/09/2018 15:11:00 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2018...
06/08/2018 10:55:24 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2018...
10/07/2018 14:57:39 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2018...
05/06/2018 15:41:28 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2018...
10/05/2018 10:23:32 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2018...
03/04/2018 15:38:12 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2018...
19/03/2017 10:51:40 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2018...
14/02/2018 15:06:31 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2018...
08/01/2018 15:06:04 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2018...
19/12/2017 16:11:12 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2017...


Prova Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
Torna ad inizio pagina
 

Vir.IT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM

Vir.IT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
 

TG Soft rende disponibile gratuitamente Vir.IT Mobile Security accedendo al market di Google Play Store (https://play.google.com/store/apps/details?id=it.tgsoft.virit) dal quale è possibile prelevare la versione Lite, liberamente utilizzabile sia in ambito privato che aziendale.

E’ possibile eseguire il passaggio alla versione PRO, acquistandolo direttamente dal nostro sito https://www.tgsoft.it/italy/ordine_step_1.asp

 VirIT Mobile Security l'Antimalware di TG Soft per Android(TM)

Torna ad inizio pagina

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.

Particolari ringraziamenti al sig. Marco Mirra e al sig. Giuseppe Pistoia per la fattiva collaborazione che hanno voluto accordarci con l'invio di materiale per l'analisi.
Torna ad inizio pagina

Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (https://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 

C.R.A.M. Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina
 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283