Selected news item is not available in the requested language.

Italian language proposed.

Close

03/05/2017
17:47

Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di MAGGIO 2017...


Scoprite quali siano i tentativi di phishing più comuni che potreste incontrare e, con un pò di colpo d'occhio, anche evitare...
 
 

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di maggio 2017.
 
Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
 

INDICE dei PHISHING

31/05/2017 => WhatsApp
31/05/2017 => Apple
29/05/2017 => UniCredit
23/05/2017 => Huawei
22/05/2017 => COOP
19/05/2017 => PosteItaliane
17/05/2017 => Apple
12/05/2017 => Trony
09/05/2017 => UniCredit
06/05/2017 => LIDL
06/05/2017 => Auchan
01/05/2017 => PosteItaliane



31 maggio 2017 ==> Phishing WhatsApp Messenger.

«OGGETTO: <Attenzione! Il tuo account WhatsApp Messenger è scaduto>

Anche questo mese non mancano tentativi di phishing provenienti da false email di WhatsApp Messenger.
 
Il messaggio vorrebbe far credere al malcapitato ricevente che il suo account WhatsApp Messenger è scaduto e che è necessario procedere al suo tempestivo rinnovo per impedire che tutti i media salvati (immagini, video..) vengano persi.

Ad un primo impatto visivo entrambi il messaggio potrebbero essere fuorviante. La nostra attenzione infatti ricade sul logo di WhatsApp Messenger, identico a quello autentico, che è stato inserito dai creatori per rendere il messaggio più attendibile. Tuttavia notiamo che l'indirizzo email del mittente non sembra aver alcun legame con WhatsApp Messenger e questo dovrebbe quantomai insospettrici.
Clicca per ingrandire l'immagine della falsa e-mail di WHATSAPP, che cerca di indurre il ricevente a cliccare sui link ma che in realtà è una TRUFFA!

Il testo del messaggio inoltre è molto generico poichè non fà riferimento al numero di telefono associato all'utenza WhatsApp e questo dovrebbe essere un chiaro segnale della falsità del messaggio.

I link riportato nel messaggio:
'"Rinnova il tuo WhatsApp Messenger"

dirotta su una pagina internet contenente un modulo che induce l'utente ad inserire i dati relativi alla sua carta di credito per procedere al rinnovo/pagamento dell'abbonamento.

Clicca per ingrandire l'immagine del FALSO sito di WhatsApp Messenger, che induce l'ignaro ricevente ad inserire i codici della carta di credito per poter rinnovare il servizio
Come possiamo vedere nell'immagine a sinistra l'indirizzo WEB sulla barra di navigazione non ha nulla a che vedere con il sito di WhatsApp Messenger poichè non è ospitato sul suo dominio.
Pertanto tutti i dati eventualmente inseriti verrebbero inviati su un Server remoto e utilizzati dai cyber-criminali per usi di loro maggiore interesse e profitto, facilmente immaginabili.

In conclusione ci preme precisare che il noto servizio di messaggistica istantanea è estraneo all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.


Torna ad inizio pagina

 

31 maggio 2017 ==> Phishing Apple

«OGGETTO: <Le informazioni del tuo ID-Apple sono state aggiornate>

Si termina il mese di maggio con un altro tentativo di phishing che giunge da una finta email da parte di Apple.
Il messaggio sembrerebbe segnalare all'ignaro ricevente che sono state apportate delle modifiche al suo account Apple ID e che, nel caso in cui tali modifiche non siano state richieste dal cliente, è consigliato procedere a verificare i dati inseriti e aggiornarli.
Lo scopo è quello di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.
Clicca per ingrandire l'immagine della falsa e-mail di APPLE, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso di Apple ID
Il messaggio di alert giunge da un indirizzo email <donot(at)repaly(dot)com> che non appartiene al dominio ufficiale di Apple. Inoltre i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.
L'intento è quello di portare il ricevente a cliccare sul link:

Il mio ID Apple


come anche sui link di fondo pagina:

ID Apple | Supporto | Norme sulla privacy
 
che, ci preme precisarlo, rimandano tutti ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
 
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con Apple...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
https://cca-mgt-1[.]customcompanyapp[.]com/styles
/IT/Login.php?..
 
Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

Torna ad inizio pagina


29 maggio 2017 ==> Phishing UniCredit

«OGGETTO: <Uni: 192477030>

Il seguente tentativo di phishing si spaccia per finta email da parte di UniCredit.

Clicca per ingrandire l'immagine della falsa e-mail di UniCredi, che cerca di rubare i codici di accesso al conto corrente online dell'ignaro riceventeL'e-mail invita il malcapitato ricevente a cliccare sul link Continua  per visulaizzare il messaggio a lui riservato da UniCredit.
A colpo d'occhio notiamo subito che l'indirizzo email del mittente info(at)cz(dot)unicreditbanking(dot)net non sembrerebbe riconducibile al  dominio reale di Unicredit, anche se i cyber-truffatori hanno avuto l'accoratezza di inserire la P.Iva dell'ente bancario, in calce all'e-mail.
La richiesta della mail, poco chiara e precisa dovrebbe quanto mai insospettirci. Il testo inoltre è estremamente generico e non riporta immagini del logo dell'ente bancario, inoltre non contiene riferimenti al titolare del conto corrente UniCredit oggetto dell'alert, diversamente da quanto avviene nella maggior parte delle comunicazioni ufficiali e autentiche di questo tipo.
Cliccando sul link:

Continua 

si verrà indirizzati su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali codice di adesione e pin. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale.

Clicca per ingrandire l'immagine della falsa pagina web di UniCredi, che cerca di rubare i codici di accesso al conto corrente online dell'ignaro ricevente
Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di UniCredit, poichè è ospitato su un dominio anomalo.

www[.]online-retail[.]unicredit[.]it
-logind52ac2jffesoqcuenw97rdamd89d67[.]
gabbihairdressing[.]co[.]uk

 
Bisogna riconoscere però che il form di autenticazione che simula quello di UniCredit, graficamente, è ragionevolmente credibile.

Tutto questo per concludere che i dati eventualmente inseriti nel form fasullo non verranno trasmessi ai server di UniCredit ma ad un server remoto gestito da cyber-truffatori che se ne appropieranno con tutti i rischi annessi e connessi facilmente immaginabili.

Torna ad inizio pagina


23 maggio 2017 ==> Phishing Huawei

«OGGETTO: < lordine deve essere confermato ... >

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di Huawei.

Clicca per ingrandire l'immagine della falsa e-mail di Huawei, che offre la possibilità di vincere uno smartphonei ma che in realtà è una TRUFFA!
II messaggio vuol far credere al ricevente che l'ordine da lui effettuato, a loro dire, è stato ricevuto e che è necessario confermarlo tramite il link:

Conferma dellordine - (#115157487)

Chiaramente la nota marca di smartphone Huawei è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Ad una prima analisi possiamo notare che il messaggio proviene da un indirizzo email estraneo alla nota azienda Huawei senza contare che non è presente alcun riferimento identificativo, che possa ricondurci all'azienda Huawei, quali sede legale, partita IVA o eventuali recapiti telefonici, ma solo un logo identificativo, che potrebbe trarre in inganno.

L'ignaro destinatario che, malauguratamente, dovesse premere sul link:

Conferma dellordine - (#115157487)

verrà dirottato su una pagina web che non ha nulla a che vedere con il sito di Huawei.

La tab del broswer con titolo ''Congratulazioni'' inviterà il consumatore, o presunto tale, a rispondere alle 3 domande del sondaggio per tentare la vincita del nuovissimo Huawei P10, al termine del quale veranno visualizzate le offerte disponibili a lui dedicate.
 
Clicca per ingrandire l'immagine del falso sito di Huawei che invita il ricevente a completare un sondaggio per vincere lo smartphone Huawei P10 ma che in realtà è una TRUFFA!
Come mostrato nell'immagine qui sotto al termine del sondaggio, una volta scelto tra lo smartphone Huawei P10 Lite o Huawei P10 Plus, viene richiesto di compilare il form con l'inserimento dei dati personali.



Clicca per ingrandire l'immagine del completamento del sondaggio di Huawei che offre come premio un Huawei P10 ma che in realtà è una TRUFFA!

Il testo del messaggio inoltre contiene altri link, oltre a Conferma dellordine - (#115157487), che riportiamo di seguito:

order@huawei.it
QUI - ORDINE HUAWEI # 1
15157487
ORDINE - # 115157487
e il logo di Huawei

che se premuti dirottano su altre pagine web malevoli, dove vengono richiesti dati sensibili, come si desume dalle immagini sottostanti.

Clicca per ingrandire l'immagine della pagina web malevole, su cui si viene dirottati cliccando dai link della falsa e-mail di Huawei.
Clicca per ingrandire l'immagine della pagina web malevole, su cui si viene dirottati cliccando dai link della falsa e-mail di Huawei.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina



22 maggio 2017 ==> Phishing COOP

«OGGETTO: < Trattamento di oggi per ... >

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di COOP.

Clicca per ingrandire l'immagine della falsa e-mail di COOP, che offre la possibilità di vincere fantastici premi ma che in realtà è una TRUFFA!
II messaggio vuol far credere al ricevente che è stato selezionato tra i clienti di COOP, in quanto cliente stimato, per poter ottenere dei premi.  Per partecipare deve cliccare sul link:

Richiedi subito la tua richiesta cliccando qui

Chiaramente la catena di ipermercati COOP è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Ad una prima analisi possiamo notare che il messaggio proviene da un indirizzo email estraneo alla catena COOP senza contare che non è presente alcun riferimento identificativo che possa ricondurci all'azienda COOP, quali sede legale, partita IVA o eventuali recapiti telefonici, ma solo un logo identificativo, che potrebbe trarre in inganno.

L'ignaro destinatario che, malauguratamente, dovesse premere sul link:

Richiedi subito la tua richiesta cliccando qui

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di COOP.

La tab del broswer con titolo ''Sondaggio annuale visitatore 2017!'' inviterà il consumatore, o presunto tale, a rispondere alle 4 domande del sondaggio per tentare la vincita del buono spesa di 500€, al termine del quale veranno visulizzate le offerte disponibili a lui dedicate.
Clicca per ingrandire l'immagine del falso sito di COOP che invita il ricevente a completare un sondaggio per vincere dei fantastici premi ma che in realtà è una TRUFFA!
Come mostrato nell'immagine qui sotto al termine del sondaggio vengono proposte delle offerte da selezionare, cliccando sul pulsante "Clicca qui".


 
Clicca per ingrandire l'immagine del completamento del sondaggio di COOP, che offre come premio un buono spesa di 500€ ma che in realtà è una TRUFFA!

Premendo il pulsante "Clicca qui" si verrà dirottati su un'altra pagina web, malevole dove viene richiesto di completare un altro sondaggio, ma che non ha chiaramente nulla a che fare con la catena COOP.

Dal precedente sondaggio, si viene dirottati su una nuova pagina web con titolo ''Supermercato'' che inviterà il consumatore, o presunto tale, a rispondere ad altre 4 domande per tentare la vincita del fantomatico buono spesa di 500€.
Clicca per ingrandire l'immagine del falso sito di COOP che invita il ricevente a completare un sondaggio per vincere dei fantastici premi ma che in realtà è una TRUFFA!
Come mostrato nell'immagine qui sotto al termine del sondaggio viene richiesto di inserire i propri dati personali per ricevere il buono spesa da 500€.

 
Clicca per ingrandire l'immagine del completamento del sondaggio di COOP, che offre come premio un buono spesa di 500€ ma che in realtà è una TRUFFA!

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina


19 maggio 2017 ==> Phishing PosteItaliane

«OGGETTO: <Verifica della tua identita!>

Ecco un altro tentativo di phishing che giunge da una falsa mail di Poste Italiane.

Clicca per ingrandire l'immagine della falsa e-mail di Poste Italiane, che cerca di rubare i codici della PostePay
Il messaggio vuol far credere al malcapitato ricevente che dal 1 Gennaio 2017 è disponibile una nuova piattaforma del sito molto più sicura, ed invita il cliente ad aggiornare i propri dati cliccando sul link CLICCA QUI.

Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di Poste Italiane e contiene un testo generico. Non vi è infatti alcun riferimento sull'intestatario del conto on-line, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Chi dovesse malauguratamente cliccare sul link CLICCA QUI verrà indirizzato su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali nome utente e password. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Poste Italiane poichè è ospitato su un dominio anomalo.
 
Clicca per ingrandire l'immagine del FALSO form di autenticazione di Poste Italiane, che induce l'ignaro ricevente ad effettuare il login del suo account

Infatti il sito internet riportato in calce

''www[.]jobsite[.]mu/ppp/pos/foo-autenticazione[.]php..''


non ha alcun legame con il sito web di Poste Italiane perchè risiede su un dominio anomalo.

L'assenza del protocollo HTTPS inoltre dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.
 
Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina


17 maggio 2017 ==> Phishing Apple

«OGGETTO: <Le informazioni del tuo ID-Apple sono state aggiornate>

Questi nuovi tentativi di phishing giungono da una finta email da parte di Apple.

Questa volta il messaggio sembrerebbe segnalare all'ignaro ricevente che il suo account Apple ID è stato modificato e che è necessario accedere per verificare i dati e riconfermali.
Il messaggio seguente invece, sembrerebbe riprendere il primo in quanto il testo invita il malcapitato a continuare la procedura di ripristino della password, già avviata in precedenza.
In entrambi i casi, lo scopo è quello di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.
 

Entrambi i messaggi di alert, che differiscono nel testo, giungono dallo stesso indirizzo email <appleid(at)noreplay(dot)com> che non appartiene al dominio ufficiale di Apple. Inoltre i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.

L'intento è quello di portare il ricevente a cliccare sui seguenti link:

Il mio ID Apple
Ripristina la password o sblocca l'ID Apple

come anche sui link di fondo pagina:

ID Apple | Supporto | Norme sulla privacy

che, ci preme precisarlo, rimandano tutti ad una stessa pagina web che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un  utente inesperto.

Clicca per ingrandire l'immagine del FALSO sito internet di APPLE, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso di Apple ID







 

 
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo / dominio che nulla ha a che fare con Apple...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
 
https://www[.]orologiopresenze[.]it/adminps/themes
/default/fonts/IT/Login.php?







Nel secondo tentativo i link rimandano ad una pagina web impostata allo stesso modo ma dove cambia solo l'indirizzo Url che è il seguente:

http://www[.]swiatseby[.]pl/wp-content/plugins
/wordpress-seo/css/toggle-switch/IT/Login[.]php?

 
Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

Torna ad inizio pagina

12 maggio 2017 ==> Phishing Trony

«OGGETTO: < Trony ti premia, ecco il tuo buono>

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di Trony.

Clicca per ingrandire l'immagine della falsa e-mail di TRONY che offre la possibilità di vincere un buono di 1000€ ma in realtà è una TRUFFA!
II messaggio vuol far credere al ricevente che è stato selezionato per partecipare alla campagna Vinci TRONY che prevede l'estrazione di un buono del valore di 1000 € da utilizzare per l'acquisto di smartphone, fotocamere, elettrodomestici. L'offerta ha una scadenza fino a fine mese e per provare a vincere è neccessario cliccare sul link RITIRA IL TUO BUONO.
Chiaramente il gruppo Trony è estraneo all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Ad un primo impatto visivo il messaggio potrebbe essere fuorviante poichè è impaginato in modo ordinato; i cyber-creatori della truffa hanno avuto anche l'accorgimento grafico di inserire delle immagini per rendere il messaggio più credibile.
Tuttavia analizzando il testo notiamo che non è presente alcun riferimento identificativo che possa ricondurci all'azienda Trony, quali sede legale, partita IVA o eventuali recapiti telefonici.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente postmaster@ong[.]beesfirst[.]com che non proviene dal dominio reale di Trony ma da uno anomalo.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link

''RITIRA IL TUO BUONO''

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di Trony.

 La tab del broswer con titolo ''Il tuo Voucher Trony'' inviterà l'utente a rispondere a 3 domande per partecipare al sondaggio, che dovrebbe permettergli di vincere come premio un buono dal valore di 1000€.
Viene fornito un tempo massimo per rispondere alle domande e successivamente si viene dirottati su un FORM di autenticazioneper confermare i propri dati.
 
Clicca per ingrandire l'immagine del falso sondaggio di Trony, che offre come premio un buono dal valore di 1000€ ma che in realtà è una TRUFFA!
Come visualizzato nella videata in calce al termine del sondaggio il sito rimanda ad un FORM di autenticazione dove vengono richiesti dati sensibili.
Possiamo notare facilmente che l'indirizzo sulla barra del broswer non ha nulla a che fare con Trony poichè è ospitato su un dominio anomalo e questo dovrebbe essere un chiaro segnale sull' inattendibilità del FORM.
 
Clicca per ingrandire l'immagine del falso FORM di autenticazione di Trony, che invita l'utente ad inserire i suoi dati per poter partecipare all'estrazione del premio/buono di 1000€ ma che in realtà è una TRUFFA!

Nella mail phishing analizzata sono presenti anche i seguenti link:

Vinci Trony
CLICCA QUI
qui

Che, se premuti, rimandano anch'essi alla stessa pagina web malevole.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina


9 maggio 2017 ==> Phishing UniCredit

«OGGETTO: <(1) messaggio>

Il seguente tentativo di phishing si spaccia per finta email da parte di UniCredit.

Clicca per ingrandire l'immagine della falsa e-mail di UniCredi, che cerca di rubare i codici di accesso al conto corrente online dell'ignaro ricevente
L'e-mail invita il malcapitato ricevente a collegarsi all' home banking di UniCredit, scaricando il messaggio allegato, per aggiornare il suo profilo servizio clienti e impedire che l'accesso al conto corrente online venga sospeso.
A colpo d'occhio notiamo subito che l'indirizzo email del mittente newsletter@staff.aruba.it non sembrerebbe riconducibile al  dominio reale di Unicredit, inoltre non risulta presente alcun dato identificatico (a parte il logo) che possa ricondurci al noto ente bancario.
La richiesta della mail, poco chiara e precisa dovrebbe quanto mai insospettirci. Il testo inoltre è estremamente generico e non contiene riferimenti al titolare del conto corrente UniCredit oggetto dell'alert, diversamente da quanto avviene nella maggior parte delle comunicazioni ufficiali e autentiche di questo tipo, ed è firmato da un generico 'Divisione retail desk Unicredit'.

Scaricando il messaggio allegato il ricevente viene invitato ad aggiornare i propri dati del conto corrente, al fine di evitare futuri problemi in quanto sono state, a dire dei cyber-truffatori, migliorate le misure di sicurezza.
Cliccando sul link ''https://online-retail[.]unicredit[.]it/login[.]htm'' , che è stato volutamente impostato in https per trarre in inganno, si verrà indirizzati su una pagina web ''anomala'' che non ha nulla a che vedere con il sito web reale di UniCredit... Bisogna riconoscere che il form di autenticazione che simula quello di UniCredit, graficamente, è ragionevolmente credibile.

Clicca per ingrandire l'immagine del messaggio allegato di UniCredit, che cerca di rubare i codici di accesso al conto corrente online dell'ignaro ricevente
Clicca per ingrandire l'immagine della falsa pagina web di UniCredi, che cerca di rubare i codici di accesso al conto corrente online dell'ignaro ricevente


Tutto questo per concludere che i dati eventualmente inseriti nel form fasullo non verranno trasmessi ai server di UniCredit ma ad un server remoto gestito da cyber-truffatori che se ne appropieranno con tutti i rischi annessi e connessi facilmente immaginabili.
Torna ad inizio pagina

06 Maggio 2017 ==> Phishing LIDL

«OGGETTO: <25 euro da spendere alla LIDL>

Ecco un altro nuovo tentativo di phishing mascherato come buono sconto per i clienti della nota catena di ipermercati Lidl.

Clicca per ingrandire l'immagine della falsa e-mail di LIDL, che offre la possibilità di vincere un buono sconto del valore di € 25,00, ma che in realtà è una TRUFFA!
II messaggio invita il ricevente a richiedere un buono sconto del valore di € 25,00 che la catena Lidl sembrerebbe mettere a disposizione ai suoi clienti dopo il pagamento di SOLO 1 € seguendo la procedura di acquisizione attraverso il link ''Clicca qui''. L'obiettivo resta chiaramente quello di dirottare l'ignaro utente su una pagina web anomala.
Analizzando il testo notiamo che è graficamente ingannevole poichè la nostra attenzione ricade sulle immagini e sul logo autentico della catena di ipermercati Lidl. Dopo un'attenta analisi possiamo però riscontrare la mancanza dei riferimenti societari di Lidl quali sede legale, partita IVA o eventuali recapiti telefonici.
Come per la gran parte dei phishing l'indirizzo email del mittente clienti@risparmisututto.it non ha alcun legame con Lidl risiedendo su un dominio anomalo.

Lo scopo del messaggio è quello di indurre l'ignaro destinatario a cliccare sul link

''Clicca qui''

Se si dovesse sventuratamente cliccare sul link si verebbe dirottati su una pagina web dove viene richiesto l'inserimento di dati sensibili, quali l'indirizzo e-mail del malcapitato ricevente, per vincere un buono spesa del valore di € 25,00.
Inserendo i dati richiesti si viene successivamente rimandati su un'altra pagina web, sembre appartenente ad un sito malevole, in cui viene richiesto l'inserimento dei dati della carta di credito per poter procedere al pagamento di solo 1€ in cambio del buono spesa.
 
La tab del broswer con titolo 'Offerta di Benevenuto'' inviterà il consumatore, o presunto tale, ad inserire il proprio indirizzo e-mail per  vincere come premio un buono spesa di 25€.
 
Clicca per ingrandire l'immagine della falsa offerta di benvenuto di LIDL, che offre come premio un buono spesa di 25€ ma che in realtà è una TRUFFA!
Chi dovesse inserire il proprio indirizzo e-mail verrà successivamente rimandato ad una pagina web, come riportato nell'immagine in calce, che richiederà l'inserimento di dati sensibili. Anche in questa pagina notiamo che l'indirizzo sulla barra di navigazione è anomalo.
Clicca per ingrandire l'immagine della falsa pagina web per il pagamento protetto di LIDL, che offre in cambio un buono spesa di 25€ ma che in realtà è una TRUFFA!

Chiaramente la catena di ipermercati Lidl è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina

 

06 Maggio 2017 ==> Phishing AUCHAN

«OGGETTO: <Ti offriamo un buono sconto gratuito!>

Ecco un altro nuovo tentativo di phishing che si cela dietro una FALSA email della nota catena di supermercati Auchan.

Clicca per ingrandire l'immagine della falsa e-mail di Auchan, che offre la possibilità di ottenere prodotti in omaggio, ma che in realtà è una TRUFFA!
II messaggio invita il ricevente a partecipare ad un miniquiz per vincere un buono da € 500,00 da spendere nella nota catena Auchan. Per partecipare all'estrazione è necessario cliccare sul link ''Continua''.
Analizzando il testo notiamo che non è presente alcun riferimento identificativo che possa ricondurci alla nota catena di supermercati Auchan, quali sede legale, partita IVA o eventuali recapiti telefonici.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente reply(at)sun017(dot)turied(dot)com che non ha alcun legame con Auchan risiedendo su un dominio quantomai anomalo.
 
 
Lo scopo del messaggio è quello di indurre l'ignaro destinatario a cliccare sul link

''Continua''

Ad un primo impatto visivo la mail può sembrare graficamente ben impostata poichè è stato riportato più volte il nome della catena e sono state usate delle immagini illusorie per rendere il messaggio più "attendibile".

Tuttavia se si dovesse sventuratamente cliccare sul link si verebbe dirottati su una pagina web dove viene richiesto di partecipare ad un sondaggio, compilando un questionario, per vincere un buono spesa del valore di € 500,00.
Simulando il questionario si viene successivamente rimandati su un'altra pagina web, se appartenente ad un sito malevole, dove viene richiesto di inserire dei dati personali.

 La tab del broswer con titolo 'Ottieni il tuo buono Auchan ora!'' inviterà il consumatore, o presunto tale, a rispondere a 4 domande per partecipare al sondaggio, che dovrebbe permettergli di vincere come premio un buono spesa di 500€.
Clicca per ingrandire l'immagine del falso sondaggio di Auchan, che offre come premio un buono spesa di 500€ ma che in realtà è una TRUFFA!
Chi dovesse sottoporsi al sondaggio verrà successivamente rimandato al form di autenticazione riportato nell'immagine in calce che richiederà l'inserimento di dati sensibili. Anche in questa pagina notiamo che l'indirizzo sulla barra di navigazione è anomalo.
Clicca per ingrandire l'immagine del falso FORM di autenticazione al termine del sondaggio di Auchan, che offre come premio un buono spesa di 500€ ma che in realtà è una TRUFFA!

Se si volesse continuare con l'inserimento dei dati personali, per concludere la procedura e vincere il buono spesa del valore di  € 500,00, bisognerebbe prima acconsentire al trattamento dei dati personali (come mostrato nella figura in alto a destra) a cui seguirebbero 2 schermate (che riportiamo in calce) sull'informativa Privacy e sul Regolamento del corso.

Clicca per ingrandire l'immagine dell'informativa sulla privacy.
Clicca per ingrandire l'immagine del Regolamento del concorso Auchan vinci un buono spesa da € 500,00
E non finisce qua.....una volta inseriti i dati personali si viene dirottati su un altro sondaggio online, dove ci sono domande di vario genere non collegate tra di loro e anche questo sondaggio prevede 3 step..che però non abbiamo concluso.
Probabilmente si verebbe dirottati su un altra pagina dove vengono sempre richiesti dati personali.
 
Clicca per ingrandire l'immagine del sondaggio per partecipare al concorso Auchan per vincere un buono spesa da € 500,00, ma che in realtà è una truffa!
Chiaramente la catena di ipermercati Auchan è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina
 

01 Maggio 2017 ==> Phishing PosteItaliane

Riportiamo di seguito alcuni tentativi di phishing che provengono tutti da una falsa comunicazione di PosteItaliane.

I casi di seguito indicati, che provengono tutti da un indirizzo e-mail del mittente non riconducibile a PosteItaliane, allertano il cliente su una
situazione anomala che si è verificata con la sua carta o con il suo conto corrente online, richiedendo di verificare i propri dati e aggiornarli.

Tipologia 1
Clicca per ingrandire l'immagine della falsa e-mail di PostePay, che richiede di verificare i dati della PostePay con lo scopo di rubare le credenziali dell'ignaro ricevente

OGGETTO:<Notifica PostePay>

In questo primo caso il ricevente, avvertito di un errore riscontrato nella sua carta PostePay , viene invitato a controllare i dati relativi cliccando sul link Verifica adesso.
Ad un primo impatto visivo notiamo che la mail, oltre a provenire da un indirizzo anomalo, contiene un testo scarno, che non fa alcun riferimento al titolare della carta PotePay oggetto dell'alert. I cyber-criminali non hanno avuto l'accorgimento di inserire un immagine o il logo di PosteItaliane per rendere l'alert più attendibile.

Tipologia 2
Clicca per ingrandire l'immagine della falsa e-mail di PosteItaliane, che richiede di verificare i dati del conto corrente online con lo scopo di rubare le credenziali dell'ignaro ricevente

OGGETTO:<Gentile Titolare>

Nell'esempio riportato qui di fianco l'utente viene informato che il suo conto corrente è stato bloccato a seguito del raggiugimento massimo dei tentativi di accesso. Il link Click riportato nel messaggio dovrebbe garantire di accedere in modo sicuro al conto corrente online.

Anche qui il corpo del messaggio è semplice e non riconducibile a PosteItaliane, infatti è firmato da un generico:
"Servizo clienti 2017"

Tipologia 3
Clicca per ingrandire l'immagine della falsa e-mail di PostePay, che richiede di verificare i dati della PostePay con lo scopo di rubare le credenziali dell'ignaro ricevente
OGGETTO: <Attenzione! Se si sceglie di ignorare la nostra richiesta, ci lasciano scelta di sospendere temporaneamente il tuo account!>

Anche qui viene richiesto di aggiornare i propri dati come richiesto da normativa vigente, di cui però non c'è nessun riferimento. Anche qui Il link https://www.poste.it/codice-univoco9771041
/verifica-dati/

dirotta su una pagina web ingannevole.

Tutti e tre i casi non riportano alcun dato identificatico del cliente intestatario del Conto/Carta, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo. Inoltre, ad eccezione dell'ultimo caso (che risulta quello graficamente più ingannevole dal momento che contiene nel corpo della mail il logo di PosteItaliane e una FALSA P.IVA), in nessun o dei testi analizzati vengono riportati dei dati identificativi riconducibili a PosteItaliane.

Clicca per ingrandire l'immagine della pagina web malevole in cui si viene dirottati dal link ''Verifica adesso'' presente nell'email
Cliccando sui Link:

  • Verifica adesso
  • Click
  • https://www.poste.it/
codice-univoco9771041/verifica-dati/



si verrà indirizzati su una pagina WEB malevole in cui vengono richiesti i codici di accesso al conto corrente online quali nome utente e password.

Come evidenziato nell' immagine di lato il form di autenticazione simula quello originale, ma comunque
non riconducibile al sito ufficiale di PosteItaliane poichè è ospitato su un dominio anomalo.
Inoltre l'assenza del protocollo HTTPS dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.
Torna ad inizio pagina



Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
06/04/2017 11:10:07 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2017...
01/03/2017 06:52:30 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2017...
06/02/2017 19:14:12 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2017...
02/01/2017 19:21:43 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2017...
01/12/2016 14:36:20 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2016...
02/11/2016 19:42:09 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2016...
02/10/2016 11:35:15 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2016...
03/09/2016 12:17:53 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2016...
01/08/2016 08:50:27 - Phishing: le frodi maggiormente diffuse nel mese di agosto 2016...
01/07/2016 12:24:06 - Phishing: le frodi maggiormente diffuse nel mese di luglio 2016...
03/06/2016 08:33:29 - Phishing: le frodi maggiormente diffuse nel mese di giugno 2016...


Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza:
  • TG Soft rende disponibile Vir.IT eXplorer Lite liberamente utilizzabile sia in ambito privato che in ambito aziendale;
  • Vir.IT eXplorer Lite è stato specificatamente progettato per essere utilizzato ad integrazione di qualsiasi altro AV o Internet Security già presenti sul computer, senza doverli disinstallare o disabilitarne moduli, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità poichè la sicurezza non è mai abbastanza.
Vai alla pagina di download.

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.

Particolari ringraziamenti al Sig. Marco Mira per la fattiva collaborazione che ha voluto accordarci con l'invio di materiale per l'analisi.


Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 

C.R.A.M. Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina
 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: