INDICE dei PHISHING

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di Aprile 2025:

25/04/2025 => Netflix
25/04/2025 => PayPal
25/04/2025 => SumUp
22/04/2025 => Aruba - Rinnova il dominio
16/04/2025 => Phishing sondaggio clienti - LEROY MERLIN - DECATHLON
16/04/2025 => Aruba - Verifica Password
12/04/2025 => Amazon PRIME
12/04/2025 => SexTortion
07/04/2025 => SCAM Polizia di Stato
05/04/2025 => Phishing sondaggio clienti - BOSCH
05/04/2025 => Phishing sondaggio clienti - CONAD - ESSELUNGA
04/04/2025 => Aruba - Aggiorna pagamento
03/04/2025 => Netflix
03/04/2025 => Aruba - Verifica Password
03/04/2025 => Google
01/04/2025 => Phishing sondaggio clienti - TELEPASS - LAVAZZA


Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

• Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

• Prova Vir.IT eXplorer Lite

• Ora disponibile VirIT Mobile Security
  

• Ringraziamenti

• Come inviare e-mail sospette per l'analisi

25 Aprile 2025 ==> Phishing NETFLIX

«OGGETTO: <Join the Netfli loyalty programx>

Analizziamo un altro tentativo di phishing che sembra provenire da una falsa comunicazione di NETFLIX, la nota piattaforma di distribuzione streaming di film, serie tv e altri contenuti a pagamento, e che ha l'obiettivo di rubare i dati della carta di credito del malcapitato.

Il messaggio, che sembra provenire da NETFLIX, informa l'utente che la sua iscrizione è scaduta, ma come parte del loro programma fedeltà è possibile estendere l'iscrizione per 90 giorni GRATUITAMENTE! E' però necessario affrettarsi in quanto l'offerta scade presto, per procedere si deve cliccare sul seguente link:

Estendi GRATUITAMENTE

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di NETFLIX <info(at)bci(dot)tourplannerslanka(dot)com>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Estendi GRATUITAMENTE verrà dirottato su una pagina WEB anomala.

25 Aprile 2025 ==> Phishing PayPal

OGGETTO: <Avviso di Blocco Temporaneo del Conto>

Analizziamo di seguito un nuovo tentativo di phishing che ha l'obiettivo di rubare le credenziali di accesso all'account di PayPal, la nota società statunitense di pagamenti digitali.

Il messaggio informa il destinatario che a seguito della nuova politica di PayPal Services Italy volta a "massimizzare la sicurezza e la riservatezza dei propri conti" veranno ampliate le modalità di elaborazione dei dati. Al fine di agevolare questa transizione, viene richiesto di aggiornare le proprie informazioni, fino a quel momento l'account rimarrà bloccato. Per procedere all'aggiornamento basta cliccare sul seguente link:

AGGIORNA ORA

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non proviene chiaramente dal dominio ufficiale di PayPal <ew-alerts[at]dtihost[dot].com>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.
Chi dovesse malauguratamente cliccare sul link AGGIORNA ORA si ritroverà di fronte alla videata riportata nell'immagine a lato.
Come possiamo vedere si viene dirotttati su un sito che simula graficamente la pagina di accesso di PayPal. Quest'ultima è ospitata però su un indirizzo/dominio anomalo.

Alla luce di queste considerazioni segnaliamo di NON inserire mai le proprie credenziali su siti di cui non si conosce la provenienza, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

25 Aprile 2025 ==> Phishing SumUp

OGGETTO: <Per motivi di sicurezza, conferma il tuo indirizzo email.>

Analizziamo di seguito un nuovo tentativo di phishing che ha l'obiettivo di rubare le credenziali di accesso all'account di SumUp, la società londinese di pagamenti digitali.

Il messaggio richiede al destinatario di confermare l'indirizzo e-mail collegato al suo account SumUp per garantire la funzionalità e la sicurezza del suo account. Lo invita quindi a confermare l'indirizzo e-mail per poter essere contattato dal seguente link

Conferma il tuo indirizzo email

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non è chiaramente riconducibile al dominio ufficiale di SumUp <mediaworld7711[at]assistenzaanzianitoscana[dot].it>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Conferma il tuo indirizzo email
verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

22 Aprile 2025 ==> Phishing Aruba - Rinnova il dominio

OGGETTO: <Importante: Scadenza dominio il 23/04/2025>

Continuano i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

II messaggio informa il ricevente che il suo dominio ospitato su Aruba, scadrà il giorno 23/04/2025. Lo informa quindi che per evitare interruzioni del servizio, può procedere sin da subito al rinnovo del dominio attraverso il seguente link:

Rinnova il mio dominio

Notiamo subito come il testo dell’e-mail sia generico e non fornisca alcun identificativo del cliente o dell'account collegato. Un altro fatto anomalo è che per effettuare il rinnovo venga richiesto di inserire le credenziali del proprio account tramite un link sospetto comunicato via mail.
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Per indurre il malcapitato a procedere tempestivamente il cyber-criminale concede poco tempo per agire. Tale tecnica ha, sicuramente, lo scopo di intimidire l'utente, il quale per il timore di trovarsi impossibilitato ad entrare nel suo account ed utilizzare i servizi ad esso collegati è spinto ad agire senza prestare la dovuta attenzione. Chi dovesse malauguratamente cliccare sul link Rinnova il mio dominio verrà dirottato su una pagina WEB che, sebbene graficamente ben fatta, il cybercriminale ha avuto nfatti, l’accortezza grafica di inserire il logo di Aruba, non è per nulla attendibile. Anche in questo caso l’indirizzo/dominio è anomalo e non ha nulla a che vedere con il sito ufficiale di Aruba.

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password da cui potrà poi procedere al rinnovo della password così da evitare malfunzionamenti/blocchi.

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per i loro scopi. Ricordiamo che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche il più banale.

16 Aprile 2025 ==> Phishing sondaggio clienti:  LEROY MERLIN / DECATHLON

Continuano le campagne di phishing a tema sondaggio clienti che sfruttano il marchio di note aziende, nei due casi di seguito riportati, sono aziende specializzate nella grande distribuzione, in particolare nel bricolage e nell'abbigliamento ed attrezzatura sportiva. Chiaramente i marchi sfruttati in queste campagne sono estranee all'invio massivo di queste e-mail malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Nei due esempi riportati notiamo che le mail provengono chiaramente da indirizzi estranei al dominio ufficiale di LEROY MERLIN <it84651023qdw[at]bricoproitalia[dot]it>,  o di DECATHLON <support[at]jor[dot]zapateriadefer[dot]com>. Questo è decisamente anomalo e dovrebbe senz'altro insospettirci.

Cliccando sui link presenti nella mail, si viene dirottati su una pagina di ''atterraggio'' che, può sembrare graficamente ingannevole (con immagini fuorvianti e il logo autentico del marchio), ma prestando più attenzione in queste campagne la pagina di atterraggio è sempre ospitata su un indirizzo/dominio anomalo che non sembra per nulla attendibile o riconducibile al marchio sfruttato.

I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi, come ad esempio riportare le false testimonianze di clienti che hanno vinto il premio in questione, cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che l'offerta scade in giornata.
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!

Al termine del sondaggio si viene solitamente reindirizzati su una pagina per l'inserimento dell’indirizzo di spedizione e il contestuale pagamento delle spese di spedizione.

In conclusione vi invitiamo sempre a diffidare da messaggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

16 Aprile 2025 ==> Phishing Aruba - Verifica Password

OGGETTO: <Verifica Password>

Continuano i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

II messaggio informa il ricevente che la password relativa al suo account Aruba scadrà entro 24 ore. Lo informa quindi che per continuare ad utilizzare la stessa password è necessario procedere alla conferma della stessa cliccando sul seguente link:

VERIFICA PASSWORD

Nel caso in cui la conferma non dovesse avvenire eventuali errori di accesso all’account saranno imputabili solo al ricevente che nonostante l'avviso non ha agito entro il tempo indicato.

Notiamo subito come il testo dell’e-mail sia generico e non fornisca alcun identificativo del cliente o dell'account collegato. Un altro fatto anomalo è che per effettuare l’aggiornamento venga richiesto di inserire le credenziali del proprio account tramite un link comunicato via mail.
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Per indurre il malcapitato a procedere tempestivamente il cyber-criminale concede poco tempo per agire. Tale tecnica ha, sicuramente, lo scopo di intimidire l'utente, il quale per il timore di trovarsi impossibilitato ad entrare nel suo account ed utilizzare i servizi ad esso collegati è spinto ad agire senza prestare la dovuta attenzione. Chi dovesse malauguratamente cliccare sul link VERIFICA PASSWORD verrà dirottato su una pagina WEB che, sebbene graficamente ben fatta, il cybercriminale ha avuto nfatti, l’accortezza grafica di inserire il logo di Aruba, non è per nulla attendibile. Anche in questo caso l’indirizzo/dominio è anomalo e non ha nulla a che vedere con il sito ufficiale di Aruba.

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password da cui potrà poi procedere al rinnovo della password così da evitare malfunzionamenti/blocchi.

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per i loro scopi. Ricordiamo che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche il più banale.

12 Aprile 2025 ==> Phishing Amazon PRIME

«OGGETTO: <Agisci ora: prolunga gratuitamente la tua iscrizione per 90 giorni!>

Analizziamo di seguito il tentativo di phishing che sembra provenire da una falsa comunicazione di Amazon PRIME, la nota piattaforma di distribuzione streaming di film, serie tv e altri contenuti a pagamento, e che ha l'obiettivo di rubare i dati della carta di credito del malcapitato.

Il messaggio, che sembra provenire da Amazon PRIME, informa l'utente che la sua iscrizione è scaduta, ma che come programma fedeltà per i loro clienti, Amazon Prime dà la possibilità di estendere gratuitamente l'iscrizione per altri 90 giorni. Per procedere sembra necessario attivare l'offerta attraverso il seguente link:

Estendi e attiva

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di Amazon PRIME <support(at)vol(dot)noxai(dot)co>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Estendi e attiva verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

12 Aprile 2025 ==> SexTortion

Ritroviamo la campagna SCAM a tema SexTortion. L'e-mail sembrerebbe far desumere che il truffatore abbia avuto accesso al dispositivo della vittima, che ha utilizzato per raccogliere dati e i video personali, per poi ricattare l'utente richiedendo il pagamento di una somma di denaro, sottoforma di Bitcoin, per non divulgare tra i suoi contatti mail e social un suo video privato mentre guarda siti per adulti.

Di seguito Vi riportiamo un estratto del testo della mail di lato:

"Considera questo messaggio come il tuo ultimo avvertimento. Abbiamo hackerato il tuo sistema! Abbiamo copiato tutti i dati dal tuo dispositivo sui nostri server. Sono stati registrati video curiosi dalla tua videocamera e dalle tue azioni mentre guardavi porno. Il tuo dispositivo è stato infettato dal nostro virus quando hai visitato il sito porno. Il virus trojan ci dà pieno accesso e ci permette di controllare il tuo dispositivo. Il virus non solo consente di vedere il tuo schermo, ma anche di accendere la videocamera e il microfono, a tua insaputa. Abbiamo preso il controllo del video dal tuo schermo e dalla tua videocamera, poi abbiamo montato un video in cui puoi vederti mentre guardi porno in una parte dello schermo e mentre ti masturbi nell'altra. Ma non è tutto! Abbiamo accesso a tutti i contatti della tua rubrica e dei tuoi social network. Non ci vorrà molto per inviare questo video ai tuoi amici, familiari e contatti sui social network, messenger ed email in pochi minuti. Abbiamo molte registrazioni audio delle tue conversazioni personali, che rivelano molte cose "interessanti"! Queste informazioni possono distruggere la tua reputazione una volta per tutte nel giro di pochi minuti. Hai l'opportunità di prevenire conseguenze irreversibili...."

A questo punto viene richiesto di inviare 1300 USD in Bitcoin sul portafoglio di seguito indicato: "bc1XXXXXXXXXXXXXXXXXXXXXX85p'. Dopo aver ricevuto la transazione tutti i dati veranno cancellati, altrimenti in caso contrario un video che ritrae l'utente, verrà mandato a tutti i colleghi, amici e parenti, il malcapitato ha 50 ore di tempo per effettuare il pagamento!

Analizzando i pagamenti effettuati sul wallet riportato alla data del 14/04/2025, non risultano transazioni.

In questi casi vi invitiamo sempre a:

1. non rispondere a questo genere di e-mail e a non aprire allegati o a cliccare righe contenenti link non sicuri, e certamente a NON inviare alcuna somma di denaro, si possono tranquillamente ignorare o eliminare.
2. Nel caso in cui il criminale dovesse riportare una password effettiva utilizzata dall'utente -la tecnica è quella di sfruttare le password provenienti da Leak (furto di dati compromessi) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.)- è consigliabile cambiarla e attivare l'autenticazione a due fattori su quel servizio.

07 Aprile 2025 ==> SCAM Polizia di Stato

«OGGETTO: <Fwd: Risposta Urgente Convocazíone>

Di seguito un tentativo di SCAM, che notifica una citazione a carico del malcapitato.

II messaggio che arriva attraverso una mail, quantomai sospetta <jose[dot]souza[dot]neto[at]icsa[dot]ufpa[dot]br> contiene solo un'allegato in .jpg denominato <IT070456-(1)>, il testo infatti è alquanto conciso e viene solo riportata un' email a cui scrivere per maggiori informazioni <pgiudiziaria39[at]gmail[dot]com>. Aprendo l'allegato, che vediamo di seguito, notiamo che è impostato in modo graficamente ingannevole, si tratta di una falsa citazione per pedopornografia che sembrerebbe provenire dal "Sig.Lamberto Giannini, Capo della Polizia e direttore generale della Pubblica Sicurezza". La denuncia oggetto del messaggio sembra far riferimento ad un caso di pornografia infantile, pedofilia, esibizionismo e pornografia cybernetica e che sembrerebbe interessare il malcapitato poichè, da come riportato nella FALSA denuncia, avrebbeaver visitato un sito di pornografia infantile.

Si tratta di un tentativo di truffa da parte di cybercriminali, il cui obbiettivo è quello di estorcere una somma di denaro, in questo caso sotto forma di sanzione pecuniaria. Infatti nel messaggio viene riportato quanto segue:

" Siete pregati di risponderci via e-
mail scrivendo le tue giustificazioni affinchè siano esaminate e verificate al fine di valutare le sanzioni che entro un termine rigorsoso di 72 ore."

Se il malcapitato non dovesse dare riscontro entro 72 ore, si procederà ad un mandato con immediato arresto 
da parte della polizia postale municipale con conseguente iscrizione nel registro nazionale dei sex offenders.
Capire che si tratta di una falsa denuncia è abbastanza semplice, infatti notiamo che inanzittutto la denuncia non è personale, inoltre il documento contiene un timbro quanto mai sospetto.

Chiaramente si tratta di un tentativo di truffa allo scopo di rubare dati sensibili dell'utente e di estorcere somme di denaro.

05 Aprile 2025 ==> Phishing Sondaggio clienti BOSCH  

OGGETTO: <Hai vinto un compressore d\'aria portatile per pneumatici Bosch GRATUITO! !# bZzSUU>

Di seguito analizziamo il seguente tentativo di truffa che si cela dietro ad una falsa comunicazione da parte della BOSCH, nota azienda multinazionale tedesca.
Il fortunato utente è stato selezionato per partecipare ad un rapido sondaggio che gli permetterebbe di vincere un "COMPRESSORE DELL'ARIA PNEUMATICA PORTATILE BOSCH "...
Sicuramente per molti utenti inesperti dietro questi phishing si cela un vero e proprio specchietto per le allodole.
Chiaramente BOSCH è estranea all'invio massivo di queste campagne malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
A scanso di equivoci si tratta infatti di tentativI di phishing voltI a carpire i vostri dati personali..
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.

Già in prima battuta notiamo che il messaggi proveniene da indirizzo email che chiaramente non è riconducibile al dominio ufficiale di  BOSCH , nello specifico: <chell03[at]nexusart[dot]it>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci. Se dovessimo tuttavia proseguire e cliccare sul link Clicca qui per iniziare! presente nelle mail ecco cosa accadrebbe:
Veniamo dirottati su una pagina di ''atterraggio'' che, sebbene graficamente ben fatta (con immagini fuorvianti e il logo autentico di BOSCH ) non sembra per nulla attendibile.
Il sondaggio per ottenere il premio è ospitato infatti su un indirizzo/dominio anomalo:

https[:]//[NomeDominioFake*]....

che non ha alcun legame con la BOSCH .
I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che l'offerta scade in giornata. In calce alla videata notiamo che è presente anche un timer countdown che tuttavia, qualora dovesse azzerarsi, come simulato, ripartirebbe da capo subito dopo..cosa alquanto strana.

Cliccando su INIZIA IL SONDAGGIO, si viene rimandati alle schermate successive, dove viene richiesto di rispondere a 8 domande.

Ci siamo: basterà infatti inserire il proprio indirizzo di spedizione e pagare le spese di spedizione e in 5-7 giorni lavorativi il premio verrà consegnato....

Per dare maggior credibilità sono stati riportati altresì numerosi commenti di clienti che sembrerebbero aver già partecipato al sondaggio. Sono tutte testimonianze/feedback rassicuranti sulla consegna effettiva della vincita e sul fatto che non si tratti realmente di una truffa.....
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!
A questo punto, cliccando su Continua si viene rimandati su un'ulteriore pagina per l'inserimento del proprio indirizzo per la spedizione e il pagamento delle spese di spedizione di Euro 2,00.  La pagina su cui si viene rimandati, per l'inserimento dei propri dati personali, è ospitata su un nuovo indirizzo/dominio anomalo:

https[:]//[NomeDominioFake*][.]com

In conclusione vi invitiamo sempre a diffidare da messggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

05 Aprile 2025 ==> Phishing sondaggio clienti:  CONAD/ESSELUNGA

Continuano le campagne di phishing a tema sondaggio clienti che sfruttano il marchio di note aziende, nei due casi di seguito riportati, sono aziende specializzate nella grande distribuzione.
Chiaramente i marchi sfruttati in queste campagne sono estranee all'invio massivo di queste e-mail malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Nei due esempi riportati notiamo che le mail provengono chiaramente da indirizzi estranei al dominio ufficiale di CONAD <conad02[at]nexusart[dot]it>,  o di ESSELUNGA <mega[dot]botar[dot]co[dot]uk-*****>. Questo è decisamente anomalo e dovrebbe senz'altro insospettirci.

Cliccando sui link presenti nella mail, si viene dirottati su una pagina di ''atterraggio'' che, può sembrare graficamente ingannevole (con immagini fuorvianti e il logo autentico del marchio), ma prestando più attenzione in queste campagne la pagina di atterraggio è sempre ospitata su un indirizzo/dominio anomalo che non sembra per nulla attendibile o riconducibile al marchio sfruttato.

I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi, come ad esempio riportare le false testimonianze di clienti che hanno vinto il premio in questione, cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che l'offerta scade in giornata.
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!

Al termine del sondaggio si viene solitamente reindirizzati su una pagina per l'inserimento dell’indirizzo di spedizione e il contestuale pagamento delle spese di spedizione.

In conclusione vi invitiamo sempre a diffidare da messaggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

04 Aprile 2025 ==> Phishing Aruba - Aggiorna pagamento

OGGETTO: <Ultimo Avviso per il Rinnovo del Tuo Dominio>

Continuano i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

Il messaggio informa il ricevente che l'ultimo pagamento in riferimento al suo dominio ospitato su Aruba, non è andato a buon fine. Per evitare la sospensione del servizio e continuare a mantenere attivo il dominio con tutti i servizi collegati sembra necessario procedere tempestivamente al pagamento e comunque entro 48 ore, altrimenti l'account e i servizi ad esso collegati potranno essere sospesi.
Invita quindi l'utente ad aggiornare il metodo d i pagamento, attraverso il seguente link:

Aggiorna Metodo di Pagamento

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <anis[dot]hassar-etu[at]etu[dot]univh2c[dot]ma> non proviene dal dominio ufficiale di Aruba.
Per indurre il malcapitato a procedere tempestivamente al rinnovo della propria casella postale vengono date 48 ore di tempo. Questo ha lo scopo di intimare l'utente, spinto dal timore di ritrovarsi con la sua casella e-mail disattivata, ad agire immediatamente e senza pensarci troppo. 

Chi dovesse malauguratamente cliccare sul link Aggiorna Metodo di Pagamento verrà dirottato sulla pagina visualizzata.

Come possiamo notare, innazitutto, la pagina di atterraggio, contrariamente a quanto dovremmo attenderci, non rimanda al form di accesso per effettuare il login all'AREA RISERVATA di Aruba ma ospita un modulo di pagamento online che sembra appoggiarsi al circuito di BancaSella e dove viene richiesto direttamente l'inserimento dei dati della carta di credito per finalizzare il pagamento della modica cifra di Euro 12,99.....
Sebbene la fretta e il timore di ritrovarsi con la casella email sospesa possano spingere l'utente a concludere velocemente l'operazione basta soffermarsi sull'indirizzo url riportato sulla barra del broswer per rendersi conto che il form di pagamento non risiede sul dominio ufficiale di Aruba e nemmeno di BancaSella.
Vi invitiamo pertanto a ricordare che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche banale.
Procedendo all'inserimento dei dati richiesti, nello specifico i dati della carta di credito, questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno a scopi criminali.

03 Aprile 2025 ==> Phishing NETFLIX

«OGGETTO: <Azione Richiesta: Verifica i Dati di Pagamento del Tuo Abbonamento>

Analizziamo questo mese il seguente tentativo di phishing che sembra provenire da una falsa comunicazione di NETFLIX, la nota piattaforma di distribuzione streaming di film, serie tv e altri contenuti a pagamento, e che ha l'obiettivo di rubare i dati della carta di credito del malcapitato.

Il messaggio, che sembra provenire da NETFLIX, informa l'utente sull'impossibilità di procedere al rinnovo dell'abbonamento, per problemi con il pagamento dell'abbonamento annuale di € 6,99. Sembra necessario a tal proposito effettuare un aggiornamento dei dati cliccando sul link:

Aggiorna i dati

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di NETFLIX <cin(at)nucl(dot)it>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Aggiorna i dati verrà dirottato su una pagina WEB anomala, che non ha nulla a che vedere con il sito ufficiale ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

03 Aprile 2025 ==> Phishing Aruba - Verifica Password

OGGETTO: <Final Warning-Verifica Password>

Ritroviamo anche questo mese il tentativo di phishing che si spaccia per comunicazioni da parte del brand Aruba.

Il messaggio informa il destinatario che la password associata al suo account scadrà tra 24 ore, il giorno 04/04/2025. Per garantire la continuità dei servizi e per continuare ad utilizzare la stessa password, invita l'utente ad effettuare l'accesso al suo dominio ospitato su Aruba e a confermare la password. Viene riportao il link per procedere alla conferma della password:

VERIFICA PASSWORD

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando l'e-mail notiamo sin da subito che il messaggio di alert  sembra giungere dall'indirizzo del destinatario stesso e non dal dominio ufficiale di Aruba. E' fondamentale prestare sempre la massima attenzione prima di cliccare su link sospetti.

Chi dovesse malauguratamente cliccare sul link VERIFICA PASSWORD verrà dirottato sulla pagina web visualizzata. In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password da cui potrà poi procedere a confrmare i propri dati di accesso ed evitare così di incorrere nel blocco dei servizi ad esso collegati.

Sebbene il sito possa trarre in inganno in quanto è stato inserito il noto logo di Aruba, notiamo che l'indirizzo url presente sulla barra del broswer è anomalo e non riconducibile al dominio ufficiale:

https[:]//[NomeDominioFake*].com.br...

Procedendo all'inserimento dei dati in siti web contraffatti, infatti, questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per scopi criminali. Vi invitiamo pertanto a ricordare che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche banale.

03 Aprile 2025 ==> Phishing Google Drive

OGGETTO: <"Hai raggiunto il limite di spazio di archiviazione!">

Analizziamo di seguito il tentativo di phishing che ha l'obiettivo di rubare le credenziali dell'account Google del malcapitato.

Il messaggio informa il destinatario che lo spazio di archiviazione è pieno, quindi le foto e i video non vengono più aggiornati e rischiano di essere eliminati, è disponibile però un'offerta speciali per i clienti, nell'ambito di un programma fedeltà, che darebbe diritto a 50GB di spazio in più solo per alcuni fortunati clienti al costo di 2€ all'anno. Per scoprire se si rientra tra i fortunati clienti basta cliccare sul seguente link:

Ricevi 50 GB

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non è chiaramente riconducibile al server di Google <support[at]xht[dot]decormonks[dot]com>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link verrà dirottato su una pagina WEB anomala, che dovrebbe simulare la pagina di accesso all'account Google. In questa pagina all'utente viene notificata la possibilità di ricevere 50 GB in più di spazio di archiviazione a soli 2€ all'anno. Solitamente queste promozioni che richiedono il pagamento di una modica cifra, sono perpetrate con lo scopo di impossessarsi dei dati della carta di credito.

Procedendo dopo aver cliccato sul link, si viene rimandati su un'altra pagina per l'inserimento dei dati della carta di credito, notimao che anche questa pagina è ospitata su un indirizzo/dominio anomalo:

 https[:]//[NomeDominioFake*].com/.....

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

01-02 Aprile 2025 ==> Phishing sondaggio clienti:  LAVAZZA/TELEPASS

Continuano le campagne di phishing a tema sondaggio clienti che sfruttano il marchio di note aziende, nei due casi di seguito riportati, sono aziende specializzate nella grande distribuzione e nei servizi per la mobilità.
Chiaramente i marchi sfruttati in queste campagne sono estranee all'invio massivo di queste e-mail malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Nei due esempi riportati notiamo che le mail provengono chiaramente da indirizzi estranei al dominio ufficiale di LAVAZZA <support[at]gsp[dot]trenbaru[dot]com>,  o di TELEPASS <info[at]pes[dot]sub2earn[dot]in>. Questo è decisamente anomalo e dovrebbe senz'altro insospettirci.

Cliccando sui link presenti nella mail, si viene dirottati su una pagina di ''atterraggio'' che, può sembrare graficamente ingannevole (con immagini fuorvianti e il logo autentico del marchio), ma prestando più attenzione in queste campagne la pagina di atterraggio è sempre ospitata su un indirizzo/dominio anomalo che non sembra per nulla attendibile o riconducibile al marchio sfruttato.

I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi, come ad esempio riportare le false testimonianze di clienti che hanno vinto il premio in questione, cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che l'offerta scade in giornata.
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!

Al termine del sondaggio si viene solitamente reindirizzati su una pagina per l'inserimento dell’indirizzo di spedizione e il contestuale pagamento delle spese di spedizione.

In conclusione vi invitiamo sempre a diffidare da messaggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.