|
Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di giugno 2019.
Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
|
INDICE dei PHISHING
|
27 Giugno 2019 ==> Phishing Buono Carrefour
«OGGETTO: <
25 € di rimborso in tutti i supermercati Carrefour>
Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di
Carrefour.
II messaggio informa il ricevente che può ottenere un buono Carrefour di 25 Euro da spendere in tutti i supermercati della catena pagandolo solo 1 Euro. Quindi invita il malcapitato a procedere all'acquisto del suo buono da 25 Euro cliccando sul seguente link:
CLICCA QUI
Chiaramente la nota azienda di commercio Carrefour è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che non è presente alcun riferimento identificativo che possa ricondurci all'azienda Carrefour, quali sede legale, partita IVA o eventuali recapiti telefonici, anche se graficamente l'e-mail potrebbe trarre in inganno in quanto i cyber truffatori hanno avuto l'accortezza di inserire delle immagini di prodotti vari.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente clienti(at)risparmisututto(dot)com che non proviene dal dominio reale di Carrefour ma da uno anomalo.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link indicato:
CLICCA QUI
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
Carrefour.
|
|
La pagina di accesso alla gestione dell'Account è impostata in modo graficamente ingannevole per un utente inesperto, ma analizzando l'indirizzo/dominio vediamo che non ha nulla a che fare con Carrefour e che riportiamo di seguito:
https://www[.]risparmisututto[.]com... |
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
27 Giugno 2019 ==> Phishing Aruba "Rifiuto di rinnovo"
«OGGETTO: <
Rifiuto di pagare ! >
Il seguente ennesimo tentativo di phishing giunge da una falsa comunicazione da parte di
Aruba.
II messaggio informa il ricevente che il rinnovo dei suoi servizi di
Aruba è stato respinto nonostante diversi tentativi di addebito. Invita quindi il malcapitato a regolarizzare la sua situaizone procedendo a rinnovare i servizi manualmente compilando il modulo di rinnovo attraverso il seguente link:
Vai al tuo modulo di pagamento.
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini,
Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <
myemail(at)example(dot)com> non proviene chiaramente dal dominio di
Aruba.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
Vai al tuo modulo di pagamento.
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
Aruba.
|
|
Come si può vedere dall' immagine di lato la pagina web dove si viene dirottati per il pagamaneto con Banca Sella è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di inserimento dei dati della propria carta di credito per procedere al rinnovo dei serivizi di Aruba è però ospitata su un indirizzo/dominio che nulla ha a che fare con Banca Sella.
Nell'immagine si può notare che la pagina che ospita il form di inserimento dei dati della carta di credito è:
194[.]182[.]73[.]73/aruba/ |
In conclusione vi invitiamo sempre a diffidare da qualunque e-mail che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
26 Giugno 2019 ==> Phishing FINECO Banca
«OGGETTO: <
Hai un rimborso non pagato!>
Questo nuovo tentativo di phishing giunge da una finta e-mail da parte di
FINECO Banca.
Il messaggio segnala all'ignaro ricevente che ha un accredito in sospeso di Euro 232,66, ma che non è possibile effettuare l'accredito perchè i dati indicati non risultano corretti. Viene quindi richiesto di aggiornare le proprie informazioni entro 24 ore, altrimenti il pagamento verrà revocato e la somma disposta tornerà al mittente. L'aggiornamento può essere effettuato dal link sottostante:
Verifica subito
Il messaggio di alert giunge da un indirizzo email <info(at)vebinarlife(dot)ru> estraneo al dominio di FINECO Banca e contiene un testo estremamanete semplice e molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente, nè alcun dato identificativo di FINECO Banca come la P.IVA o sede legale.
L'intento è quello di portare il ricevente a cliccare sul link:
Verifica subito
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
FINECO Banca, ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali...
26 Giugno 2019 ==> Phishing Aruba "soglia minima di credito"
«OGGETTO: <
Riferimento: FAST-I34478569T>
Il seguente tentativo di phishing giunge da una falsa comunicazione da parte di
Aruba.
II messaggio informa il ricevente che il suo account ha raggiunto la soglia minima di credito disponibile, e lo invita dunque a ricaricare subito per non disattivare i suoi servizi di
Aruba. Invita quindi il malcapitato a ricaricare il credito entro 48 ore altrimenti i servizi veranno sospesi, cliccando sul seguente link:
RICARICA SUBITO
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini,
Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <
myemail(at)example(dot)com> non proviene chiaramente dal dominio di
Aruba, tuttavia il cybercriminale ha avuto l'accortezza grafica di aggiungere il noto logo di
Aruba, e per rendere ancora più credibile il messaggio in fondo all'e-mail viene anche descritto come impostare la soglia minima di credito e viene riportato il link per procedere
Clicca qui che indirizza direttamente al sito ufficiale di Aruba
.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
RICARICA SUBITO
verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il dominio di
Aruba, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali...
26 Giugno 2019 ==> Phishing Zimbra
«OGGETTO: <
2019/07/26i>
Questo tentativo di phishing giunge da una finta e-mail da parte di
Zimbra, il server di posta elettronica.
Il messaggio informa il cliente che ci sono degli aggiornamenti sui dati e sul centro di posta elettronica. Stanno quindi procedendo a eliminare tutti gli account non confermati per creare più spazio per nuovi account. Quindi invita l'utente a confermare il proprio account cliccando sul seguente link:
CONFERMA VIA EMAIL
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email che non sembra riconducibile ad un dominio di posta elettronica
<angelo(dot)parola(at)asst-garda(dot)it> e contiene un testo estremamente generico.
Chi dovesse malauguratamente cliccare sul link
CONFERMA VIA EMAIL verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con
Zimbra l'amministratore della casella postale.
|
|
La pagina di accesso alla gestione dell'Account è impostata in modo graficamente ingannevole per un utente inesperto, ma analizzando l'indirizzo/dominio non ha nulla a che fare con Zimbra, come si può notare dall'immagine di lato, e che riportiamo di seguito:
members[.]iinet[.]net[.]au/george.zentrich/ZZ/zib_new[.]html |
Inserendo i dati di accesso della casella postale su questo FORM, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
17 Giugno 2019 ==> SexTortion: Der Zugriff auf Ihr Konto wurde gefahrdet
Analizziamo di seguito un nuovo tentativo di SCAM che si cela questa volta dietro un messaggio in lingua tedesca.
L'obiettivo resta sempre quello di ricattare la vittima intimandola ad effettuare un trasferimento di denaro al fine di non divulgare un suo video privato mentre guarda siti per adulti.
La mail, di cui riportiamo in parte la traduzione, vuole indurre il malcapitato utente al versamento della somma di denaro richiesta, accordando un tempo massimo, ovvero 50 ore dall'apertura del messaggio.
''Ho brutte notizie per te.
28.01.2019 - quel giorno ho hackerato il tuo sistema operativo e ho avuto pieno accesso al tuo account.
Ho tutti i dati memorizzati sul disco rigido.Volevo bloccare il tuo dispositivo. E ho bisogno di una piccola somma di denaro per lo sblocco. Ma ho guardato i siti che visiti regolarmente e sono giunto al grande shock delle tue risorse preferite.Sto parlando di siti per adulti.
Voglio dire: sei un grande pervertito. Hai un'immaginazione sfrenata!
Dopo ciò mi è venuta in mente un'idea. Ho preso uno screenshot del sito web intimo che ti piace (sai di cosa si tratta, vero?). Sono convinto che non vuoi mostrare queste immagini a parenti, amici o colleghi.
Penso che 339 € siano una piccola quantità per il mio silenzio.
|
 |
Accetto solo bitcoin.
Il mio portafoglio borsa BTC: 1DXXXXXXXXXXXXXXXXXXXXXXXe5jXX
Ti darò poco più di due giorni per pagare (esattamente 50 ore). Non preoccuparti, il timer inizia nel momento in cui apri questa lettera. Sì, sì .. è già iniziato!
Dopo aver ricevuto il pagamento, i miei virus e le mie foto sporche vengono distrutti automaticamente.
Se non ricevo l'importo specificato da te, il tuo dispositivo verrà sospeso e tutti i tuoi contatti riceveranno una foto dei loro "piaceri".
P.S. Ti garantisco che non ti darò fastidio dopo il pagamento perché non sei la mia unica vittima.
Questo è un codice d'onore per gli hacker.
D'ora in poi, ti consiglio di usare buoni programmi antivirus e di aggiornarli regolarmente (più volte al giorno)!''
Analizzando i pagamenti effettuati sul wallet indicato dal cyber criminale "
1DXXXXXXXXXXXXXXXXXXXXXXXe5jXX" ad oggi 20/06/2019 risultano registrate 2 transazioni per un totale di Euro 613,68.
In questi casi vi invitiamo a:
- non rispondere a questo genere di e-mail e a non aprire allegati o a cliccare righe contenenti link non sicuri, e certamente a NON inviare alcuna somma di denaro.
- Nel caso in cui il criminale dovesse riportare una password effettiva utilizzata dall'utente -la tecnica è quella di sfruttare le password provenienti da Leak (furto di dati compromessi) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.)- è consigliabile cambiarla e attivare l'autenticazione a due fattori su quel servizio.
Per approfondimenti su come proteggere i tuoi dati dai tentativi di truffa informatica
Clicca qui
17 giugno 2019 ==> Phishing DHL
«OGGETTO: <
Express Shipments>
Analizziamo di seguito un attacco informatico che utilizza una falsa comunicazione proveniente dall'azienda
DHL.
Come nella maggior parte delle campagne di phishing la vittima viene contattata tramite un falso messaggio proveniente apparentemente da
DHL.
In questo caso la mail è in lingua inglese e invita il destinatario a scaricare i documenti relativi all' account e a dar conferma prima di procedere alla consegna di un pacco.
Per far questo è necessario cliccare sul link
here.
Ad una prima analisi il messaggio potrebbe sembrare decisamente autentico: è presente infatti il logo ufficiale di DHL che potrebbe trarre in inganno la vittima ma già il contenuto, nel merito del testo, è sospetto come anche l'indirizzo email del mittente julieooi(at)omega(dot)edu(dot)my che non sembra attendibile perchè in alcun modo riconducibile al dominio ufficiale di DHL.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
here
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di DHL.
|
|
Come si può vedere dall' immagine di lato la pagina web è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con DHL...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
http[:]//grupointegrapr[.]com/wp/wp/wp-content/....
|
L'intento dei fraudolenti mittenti è quello di indurre la potenziale vittima a fornire dati sensibili,
in questo caso la password relativa alla propria casella elettronica, per poi utilizzare questi stessi dati in modo fraudolento per furti d'identità o per sfruttare le credenziali otteneute a scopo di lucro.
Inserendo i dati di accesso della propria casella postale nella FALSA pgina web di DHL quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
13 Giugno 2019 ==> Phishing AMAZON
«OGGETTO: <
Billing Information records are recently changed.>
Il seguente tentativo di phishing giunge da una falsa comunicazione da parte di
AMAZON.
II messaggio segnala al ricevente che risultano modificati i suoi dati di fatturazione, quindi è necessario verificare e confermare i dati di fatturazione inseriti sull'account
AMAZON in quanto in caso di mancata verifica potrebbero esserci delle restrizioni o inattività sull'account, per confermare i dati è necessario cliccare sul seguente link:
AMAZON VERIFICATION
Chiaramente la nota azienda di commercio
AMAZON è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo che l'indirizzo e-mail del mittente <noreply
(at)amazon(dot)com> potrebbe trarre in inganno in quanto sembrerebbe riconducibile al dominio reale di
AMAZON, ma analizzando il messaggio notiamo che il testo oltre ad essere estremamente scarno e conciso, non riporta alcun dato identificativo del titolare dell'account.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
AMAZON VERIFICATION
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
AMAZON, ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
|
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con AMAZON...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
traduzione
https://onedrive[.]live[.]com/?authkey=!AOV... |
Inserendo i propri dati su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
9 Giugno 2019 ==> SexTortion: Cambia la tua password immediatamente
Ecco un altro esempio di tentativo di SCAM di cui vi riportiamo di seguito il testo in lingua italiana rivolto quindi ad un target principalmente italiano, che minaccia l'utente di divulgare
un suo video privato mentre guarda siti per adulti, e gli propone un'offerta
per non divulgare il suo video privato tra i suoi contatti mail e social invitandolo a pagare una somma di denaro sottoforma di Bitcoin.
"Ho brutte notizie per te...ho hackerato il tuo sistema operativo e ottenuto l'accesso completo al tuo account. Quando sei entrato in Internet, il mio trojan è stato installato sul sistema operativo del tuo dispositivo. Successivamente, ho scaricato tutti i dati del tuo disco (ho tutta la tua rubrica, la cronologia dei siti di visualizzazione, tutti i file, i numeri di telefono e gli indirizzi di tutti i tuoi contatti)... Ho fatto uno screenshot del sito web intimo in cui ti diverti. Dopo di che ho scattato foto dei tuoi divertimenti (usando la fotocamera del tuo dispositivo). Sono fermamente convinto che non ti piacerebbe mostrare queste immagini ai tuoi parenti, amici o colleghi.
Penso che 253€ sia una piccola somma per il mio silenzio. Accetto solo soldi in Bitcoin! Il mio portafoglio BTC: 1GaXXXXXXXXXXXXXXXXXXXXXXXtyXX Per il pagamento hai poco più di due giorni (esattamente 50 ore). |
 |
Dopo il pagamento, il mio virus e le foto sporche con te si autodistruggono automaticamente. Voglio che tu sia prudente. - Non cercare di trovare e distruggere il mio virus! (Tutti i tuoi dati sono già stati caricati su un server remoto) - Non provare a contattarmi (questo non è possibile, l'indirizzo del mittente viene generato automaticamente) - Vari servizi di sicurezza non ti aiuteranno; la formattazione di un disco o la distruzione di un dispositivo non saranno d'aiuto, dal momento che i tuoi dati sono già su un server remoto. P.S. Ti garantisco che non ti disturberò di nuovo dopo il pagamento, dal momento che non sei l'unica vittima di queste circostanze. Questo è un codice d'onore degli hacker."
Analizzando i pagamenti effettuati sul wallet indicato dal cyber criminale "
1GaXXXXXXXXXXXXXXXXXXXXXXXtyXX" ad oggi 10/06/2019, il wallet risulta vuoto.
In questi casi vi invitiamo a:
- non rispondere a questo genere di e-mail e a non aprire allegati o a cliccare righe contenenti link non sicuri, e certamente a NON inviare alcuna somma di denaro.
- Nel caso in cui il criminale dovesse riportare una password effettiva utilizzata dall'utente -la tecnica è quella di sfruttare le password provenienti da Leak (furto di dati compromessi) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.)- è consigliabile cambiarla e attivare l'autenticazione a due fattori su quel servizio.
Per approfondimenti su come proteggere i tuoi dati dai tentativi di truffa informatica
Clicca qui
7 Giugno 2019 ==> SexTortion: Your sistem was infected
Ecco un altro esempio di tentativo di SCAM già analizzato questo mese dal nostro
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft.
L' e-mail, che ritroviamo questa volta in lingua inglese, di cui vi riportiamo di seguito il testo, minaccia l'utente di divulgare
un suo video privato mentre guarda siti per adulti, e gli propone un'offerta
per non divulgare il suo video privato tra i suoi contatti mail e social invitandolo a pagare una somma di denaro sottoforma di Bitcoin.
| "Puoi sporgere denuncia alla polizia ma non risolveranno il tuo problema. Sono straniero. Quindi non troveranno la mia posizione per almeno 3 settimane. Il tuo sistema è stato infettato dal mio virus. Ti ho registrato tramite la tua webcam, mentre visitavi un sito porno. Ora ho una tua registrazione video mentre ti mastrurbi. Ho copiato tutti i tuoi contatti, se vuoi che manteniamo il tuo segreto devi inviare 600 USD in bitcoin. Copia questo indirizzo di portafoglio. Hai 24 ore dopo aver fatto clic su questa lettera per completare la transazione. In bocca al lupo. Pensa alla vergogna." |
 |
Analizzando i pagamenti effettuati sul wallet indicato dal cyber criminale "
13TXXXXXXXXXXXXXXXXXXXXXXKn2XX" ad oggi 10/06/2019, il wallet risulta vuoto.
In questi casi vi invitiamo a:
- non rispondere a questo genere di e-mail e a non aprire allegati o a cliccare righe contenenti link non sicuri, e certamente a NON inviare alcuna somma di denaro.
- Nel caso in cui il criminale dovesse riportare una password effettiva utilizzata dall'utente -la tecnica è quella di sfruttare le password provenienti da Leak (furto di dati compromessi) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.)- è consigliabile cambiarla e attivare l'autenticazione a due fattori su quel servizio.
Per approfondimenti su come proteggere i tuoi dati dai tentativi di truffa informatica
Clicca qui
6 Giugno 2019 ==> Nuova variante di SexTortion, il tentativo di estorsione di una somma di denaro in Bitcoin via e-mail
Questo mese troviamo una nuova variante del tentativo di SCAM che si cela dietro ad un ricatto al malcapitato utente di divulgare di un video privato in cambio di una somma di denaro (generalmente in Bitcoin), legata alla campagna di SEXTORTION già rilevata nel corso dei mesi scorsi dal nostro
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft.
L' e-mail, che ritroviamo questa volta in lingua italiana, di cui vi riportiamo di seguito il testo, minaccia l'utente di divulgare
un suo video privato mentre guarda siti per adulti, e gli propone un'offerta
per non divulgare il suo video privato tra i suoi contatti mail e social invitandolo a pagare una somma di denaro sottoforma di Bitcoin.
Notiamo che il cybercriminale sostiene di aver violato il sistema operativo e di avere il pieno controllo del dispositivo. Come è stato infettato? "Il router che hai usato per connetterti a Internet ha avuto un buco di sicurezza. Puoi leggere questo problema cercando CVE-2018-10562. Ho hackerato il tuo router e ho inserito il mio codice e quando hai provato a collegarti a Internet, il mio programma ha infettato il tuo dispositivo. Più tardi ho creato una copia completa del tuo disco rigido (ho tutte le tue liste di contatti e-mail, l'elenco dei siti web che hai visitato, i numeri di telefono, le password ecc.)Un po 'più tardi, mentre stavo cercando la tua cronologia di navigazione sul web e sono rimasto scioccato da quello che ho visto !! I siti per adulti che stai visitando...Negli ultimi 2 mesi ti ho spiato attraverso la tua fotocamera del dispositivo .."
Lo informa quindi che è stato girato un video di lui mentre visita siti per adulti, e per evitare che tali informazioni diventino pubbliche e che vengano inviate ai suoi contatti richiede un riscatto.
Viene riportato il wallet per il pagamento del riscatto di 2000 Euro e dato un limite di tempo di 72 ore per pagare, intimandolo che ogni tentativo di denuncia sarebbe vano in quanto il cybercriminale sostiene di venire dalla Russia e prima che lo trovino il video sarà già in circolazione.. |
 |
In questi casi vi invitiamo a:
- non rispondere a questo genere di e-mail e a non aprire allegati o a cliccare righe contenenti link non sicuri, e certamente a NON inviare alcuna somma di denaro.
- Nel caso in cui il criminale dovesse riportare una password effettiva utilizzata dall'utente -la tecnica è quella di sfruttare le password provenienti da Leak (furto di dati compromessi) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.)- è consigliabile cambiarla e attivare l'autenticazione a due fattori su quel servizio.
Qualcuno ha pagato il riscatto...
L'obbiettivo di questa TRUFFA è ovviamente quello di estorcere una somma in denaro con una transazione in Bitcoin, in questo esempio la somma richiesta è alta 2000 Euro da versare nel wallet indicato entro 72 ore dalla ricezione dell'e-mail.
Analizzando i pagamenti effettuati sul wallet indicato dal cyber criminale "
3HgXXXXXXXXXXXXXXXXXXXXXXuVsXX" ad oggi 10/06/2019, il wallet risulta vuoto.
Solitamente quando le cifre richieste sono alte è più difficile che il malcapitato sia propenso a pagare, mentre dalle analisi effettuate sono stati riscontrate più transazioni qunado la cifra richiesta si aggira sulle centinaia di Euro.
Vi ricordiamo di NON CEDERE a questo tipo di ricatto, in quanto pagare la somma richiesta non vi dà alcuna garanzia che il presunto video venga eliminato.
Come proteggere i tuoi dati dai tentativi di truffa informatica...
Quello che Vi consigliamo di fare è di cambiare tempestivamente la password di accesso alla posta elettronica, infatti in questi casi il cybercrimanle sostiene di conoscere la Vostra password e in alcuni esempi la password viene riportata nel corpo del messaggio, e se la stessa password viene utilizzata per accedere ad altri account è consigliabile modificarla su tutti gli account in cui è stat utilizzata.
Fate quindi attenzione a non utilizzare le stesse password quando vi iscrivete a diversi tipi di siti/servizi web, in particolare usate password diverse per i servizi sensibili (come l'homebanking, la posta elettronica...), in quanto rischiate di fornire la vostra password su siti poco affidabili che verrebbero facilmente utilizzati per scopi criminali. Sarebbe buona norma quindi differenziare le password usate per ogni sito/servizio web e modificarle sistematicamente.
05 Giugno 2019 ==> Phishing Zimbra
«OGGETTO: <
Amministratore di sistema>
Questo tentativo di phishing giunge da una finta e-mail da parte di
Zimbra, il server di posta elettronica.
Il messaggio informa il cliente che il server di posta elettronica di
Zimbra è attualmente congestionato, e lo invita quindi ad aumentare la dimensione della casella di posta elettronica cliccando sul seguente link:
cliccando qui
Inoltre il messaggio informa l'utente che si sta procedendo ad eliminare tutti gli account inattivi e quindi per evitare che il proprio account venga disattivato è necessario confermare che sia ancora attivo.
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email che non sembra riconducibile ad un dominio di posta elettronica
<info(at)Amministratore(dot)com> e contiene un testo estremamente generico.
Chi dovesse malauguratamente cliccare sul link
cliccando qui verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con l'amministratore della casella postale
Zimbra, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali...
3 giugno 2019 ==> Phishing Apple
«OGGETTO: <
Il tuo ID Apple e stato utilizzato per accedere a iCloud da un browser web>
Ecco un altro tentativo di phishing che si spaccia per una finta email da parte di
Apple.
Il messaggio, estremamente conciso, avverte il ricevente che il suo Apple ID è stato utilizzato per effettuare un tentativo dfi accesso a iCloud da un altro browser, e per completezza vengono indicati il luogo e anche il giorno e l'orario in cui è stato registrato l'accesso. Quindi invita il destinatario a verificare le informazioni inserite nel suo Apple ID nel caso in cui non riconosca il tentativo di accesso segnalato, cliccando sul link ''Il mio ID Apple'' per approfondire.
Lo scopo è quello di indurre, con l'inganno, l'ignaro destinatario ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.
La mail di alert giunge da un indirizzo email <do_not(at)replay(dot)com> che, non proviene dal dominio ufficiale di Apple. I cyber-criminali ideatori della truffa hanno avuto tuttavia l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.
L'intento è quello di portare il ricevente a cliccare sul link
Il mio ID Apple
|
|
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con Apple...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
https[:]//store[.]cellwatch[.]co[.]/Core/IT/Login[.]php?.... |
Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
03 Giugno 2019 ==> Phishing Webmail
«OGGETTO: <
Mailbox Update Required>
Questo tentativo di phishing cerca di rubare la password di accesso alla casella di posta elettronica.
Il messaggio informa il cliente che ci sono degli aggiornamenti urgenti da fare relativi all'account di posta elettronica, può quindi completare l'aggiornamento cliccando sul seguente link:
UPDATE MAILBOX
Analizzando la mail notiamo che il messaggio in lingua inglese, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email che non sembra riconducibile ad un dominio di posta elettronica
<mailbox(at)uprmaibo(dot)info> e contiene un testo estremamente generico. Il messaggio inoltre non è firmato e non vi è riportato alcun logo.
Chi dovesse malauguratamente cliccare sul link
UPDATE MAILBOX verrà dirottato su una pagina WEB che non ha nulla a che vedere con il server della casella di posta elettronica, ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
|
La pagina di accesso alla gestione della casella di posta elettronica è ospitata su un indirizzo/dominio anomalo...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
https://uprmaibo[.]online/0fj33lx0DdoncloudEUkW.. |
Inserendo i propri dati su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...
Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
13/05/2019 09:20:34 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2019...
03/04/2019 09:50:09 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2019...
05/03/2019 10:10:57 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2019...
04/02/2019 11:17:34 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2019...
07/01/2019 18:22:55 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2019...
04/12/2018 09:10:21 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2018...
08/11/2018 11:37:10 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2018...
04/10/2018 17:22:49 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2018...
03/09/2018 15:11:00 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2018...
06/08/2018 10:55:24 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2018...
10/07/2018 14:57:39 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2018...
05/06/2018 15:41:28 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2018...
Prova Vir.IT eXplorer Lite
Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.
Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari: |
 |
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM
VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
Ringraziamenti
Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.
Particolari ringraziamenti al sig. Marco Mira e al sig. Giuseppe Pistoia per la fattiva collaborazione che hanno voluto accordarci con l'invio di materiale per l'analisi.
Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
- qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
- salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (https://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft
