|
Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di dicembre 2018.
Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
|
INDICE dei PHISHING
|
29 Dicembre 2018 ==> Phishing Intesa Sanpaolo "Conferma bonifico europeo"
«OGGETTO: <
Intesa Sanpaolo: Conferma bonifico europeo>
Questo nuovo tentativo di phishing giunge da una finta email da parte di
Intesa Sanpaolo.
Il messaggio segnala all'ignaro ricevente che è stato riscontrato un bonifico europeo sospetto dal suo conto. Nel caso in cui il bonifico non fosse autorizzato lo invita ad annullare l'operazione dal seguente link sicuro, in caso contrario di ignorare il presente messaggio:
https://www[.]intesasanpaolo[.]it/verifica/login?annullaOTS=59875&email=*****
Il messaggio di alert giunge da un indirizzo e-mail <comunicazioni--539879(at)intesasanpaolo(dot)com>, che sembrerebbe provenire dal dominio ufficiale di Intesa Sanpaolo, possiamo però notare che il testo oltre ad essere estremamente scarno e conciso, è molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente, così come nessun dato identificativo di Intesa Sanpaolo, il messaggio infatti non è firmato.
L'intento è quello di portare il ricevente a cliccare sul link:
https://www[.]intesasanpaolo[.]it/verifica/login?annullaOTS=878879&email=*****
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di
Intesa Sanpaolo ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali...
27 Dicembre 2018 ==> Phishing WeTransfer
«OGGETTO: <
WeTransfer>
Questo tentativo di phishing si spaccia per una finta e-mail da parte di
WeTransfer, la web app che permette di scambiare file di grandi dimensioni.
Il messaggio in lingua inglese, informa il cliente che non è stato possibile inviare 3 file in quanto le dimensioni sono troppo grandi. Quindi invita il malcapitato a scaricare i file cliccando sul seguente link:
Get your files
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo e-mail che sembrerebbe riconducibile al dominio di
WeTransfer <noreply(at)wetransfer(dot)com>.
Viene inoltre riportato l'indirizzo e-mail del soggetto che sta cercando di inviarci i file per mezzo di
WeTransfer e che riportiamo di seguito
<mfinmnss1(at)emirates(dot)net(dot)ae>, in calce al messaggio sono riportati dei link che non sono riconducibili a WeTransfer:
About WeTransfer
Help
Report this transfer as spam
Solo il link
Legal è riconducibile al sito ufficiale di
WeTransfer.
Chi dovesse malauguratamente cliccare sul link
Get your files verrà indirizzato su una pagina WEB malevola, che come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
|
La pagina di accesso al download dei file è ospitata su un indirizzo/dominio anomalo, non riconducibile a WeTransfer.
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
chiefcartonlineservices[.]com/wp-admin/js/Wetr/WeTransfer/... |
Inserendo i dati di accesso della casella postale su questo FORM i dati inseriti verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
27 Dicembre 2018 ==> Phishing BNL
OGGETTO: <
Comunicazione importente: Aggiornare il tuo account>
Questo nuovo tentativo di phishing si spaccia per una falsa comunicazione di
BNL.
Il messaggio segnala al ricevente che è stata effettuata una revisione nel record bancario, ed è stata rilevata un' incoerenza. Per questo motivo è necessario aggiornare il record inserendo l'utente e il tasto di accesso e riconfermando il messaggio che verrà inviato sul telefono del malcapitato. Per riconfigurare i dati è necessario cliccare sul seguente link:
"clicca qui"
In prima battuta notiamo che il testo dell'email è molto generico in quanto non contiene nessun riferimento all'intestatario della conto corrente bancario nè tantomeno alcun dato identificativo di
BNL. La mail di alert giunge da un indirizzo email <
noreply(at)bnl(dot)it> che, sembra provenire dal dominio ufficiale di
BNL e questo potrebbe trarre in inganno.
Chi dovesse malauguratamente cliccare sul link
"clicca qui" verrà indirizzato su una pagina WEB malevola, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali...
18 Dicembre 2018 ==> Phishing Apple
«OGGETTO: <
Le informazioni del tuo ID Apple sono state aggiornate>
Ecco un altro tentativo di phishing che si spaccia per una finta email da parte di
Apple.
Il messaggio, estremamente conciso, avverte il ricevente che il suo Apple ID è stato utilizzato per effettuare un tentativo dfi accesso a iCloud da un altro browser, e per completezza vengono indicati il luogo e anche il giorno e l'orario in cui è stato registrato l'accesso. Quindi invita il destinatario a verificare le informazioni inserite nel suo Apple ID nel caso in cui non riconosca il tentativo di accesso segnalato, cliccando sul link ''Il mio ID Apple'' per approfondire.
Lo scopo è quello di indurre, con l'inganno, l'ignaro destinatario ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.
La mail di alert giunge da un indirizzo email <do_not(at)replay(dot)jp> che, non proviene dal dominio ufficiale di Apple. I cyber-criminali ideatori della truffa hanno avuto tuttavia l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.
L'intento è quello di portare il ricevente a cliccare sul link
Il mio ID Apple verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito di
Apple poichè è ospitato su un dominio anomalo e che è già stato segnalato come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
14 Dicembre 2018 ==> Phishing TIM
«OGGETTO: <
Wazna informacja na temat skrzynki pocztowej>
Il seguente tentativo di phishing si spaccia per finta email da parte di TIM.
L'e-mail informa il malcapitato ricevente che sono state prese delle misure per limitare i messaggi in entrata e in uscita e altri per prevenire e-mail non richieste, in quanto il supporto tecnico ha rilevato che il portale firmware non è più attivo a causa della manuntenzione dei loro server. Per annullare queste limitazioni, è necessario cliccare sul link Accedere.
A colpo d'occhio notiamo che il messaggio è estremamente generico e non contiene nessuna firma o dato identificativo della nota azienda TIM, nè tantomeno è riportato alcun dato identificativo del destinatario del messaggio. Notiamo che il messaggio proviene da un indirizzo email estraneo al dominio di TIM <exetel(dot)mail(at)baringsinvestors(dot)com>.
L'intento è quello di portare il ricevente a cliccare sul link
Accedere
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di TIM ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
 |
Come si può vedere dall'immagine di lato la pagina web su cui si viene dirottati, non è chiaramente riconducibile alla nota azienda telefonica TIM. La pagina di accesso alla gestione dell'Account è ospitata su un indirizzo/dominio che non ha nulla a che fare con TIM, come si può notare dall'immagine di lato, e che riportiamo di seguito:
https://mail[.]alice[.]tim[.]it12ilet[.]pro-linuxpl[.]com
Tutto questo per concludere che bisogna sempre diffidare da messaggi poco chiari e generici e quindi evitare di cliccare su link sospetti che riconducono su server remoti gestiti da cyber-truffatori con tutti i rischi annessi.
|
Torna ad inizio pagina
11 Dicembre 2018 ==> Phishing Poste Italiane
«OGGETTO: <xxxxxxx, abbiamo bloccato il tuo postepay>
Ecco un nuovo tentativo di phishing che si spaccia per una falsa mail di Poste Italiane.
Il messaggio informa il cliente che sono state rilevate attività insolite relative al suo account, e quindi come misura di sicurezza sono state limitate alcune funzioni come pagamenti online, trasferimenti bancari e prelievi di denaro. Per ripristinare l'account è necessario confermare la propria identità, cliccando sul seguente link sicuro:
Accedi al collegamento sicuro
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di Poste Italiane <info(dot)13346(at)bancoposte(dot)it> e contiene un testo estremamente generico. Inoltre non vi è riportato alcun logo e non vi è alcun riferimento sull'intestatario del conto di Poste Italiane, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Chi dovesse malauguratamente cliccare sul link
Accedi al collegamento sicuro verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito di Poste Italiane poichè è ospitato su un dominio anomalo e che è già stato segnalato come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
10 Dicembre 2018 ==> CyberEstorsione => Sex Extortion minaccia via e-mail in cambio di un riscatto in Bitcoin
Negli ultimi giorni si sono rilevati diversi tentativi di truffa via mail, legati alla campagna di SPAM, già rilevata nel corso dei mesi scorsi dal nostro Centro Ricerche Anti-Malware, veicolati dalla minaccia di divulgare un video privato per tentare una estorsione in denaro (Bitcoin).
L' e-mail, che ritroviamo in lingua inglese o in lingua italiana, di cui vi riportiamo alcuni esempi, minaccia l'utente di divulgare
un suo video privato mentre guarda siti per adulti, e gli propone un'offerta
per non divulgare tra i suoi contatti mail e social il suo video privato invitandolo a pagare una somma di denaro in Bitcoin.
Va notato che il cybercriminale sostiene di possedere la password utilizzata dall'utente sul suo account di posta elettronica, questo induce molti malcapitati a credere a ciò che viene poi riportato, credendo che il suo dispositivo sia stato violato. La tecnica in realtà è quella di sfruttare le password provenienti da Leak (furto di dati) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.) approfittando dell'abitudine avventata, ma spesso molto comune, di utilizzare la stessa password per servizi Web differenti.
In tutti gli esempi analizzati ritroviamo un filo conduttore, i testi dell' e-mail sono particolarmenti dettagliati in quanto viene indicato il modo in cui il dispositivo è stato hackerato e in alcuni casi anche il periodo, il virus installato oltrettutto è dotato di un avviso automatico che avverte il cybercriminale quando l'e-mail viene aperta, e da quel momento il malcapitato ha tempo in genere 48 ore per pagare. Viene quindi indicato il wallet per il pagamento in Bitcoin e indicazioni su come trasferire denaro a un portafoglio bitcoin.
L'obbiettivo di questa TRUFFA è ovviamente quello di estorcere una somma in denaro con una transazione in Bitcoin, che può variare come abbiamo visto nei messaggi che circolano in questi mesi da 300 $ ai 2000 $ fino a 7000 $.
06 Dicembre 2018: "il tuo account è stato violato! Cambia la tua password immediatamente!"
Nell'immagine di lato, riportiamo il messaggio (in lingua itaiana) del tentativo di TRUFFA chiamato SCAM legato alla Sex Extortion, che richiede un riscatto di 254€ in cambio il cybercriminale non metterà in circolazione un video privato.
Verificando il wallet indicato per il pagamento del riscatto: "XXXXXXXXXXXDR5XXXXXXXXXXXX" ad oggi 13/12/2018 risultano esserci 13 transazioni in ingresso pari a Euro 4841,57. |
 |
07 Dicembre 2018: "Hy my victim! I recorded you masturbating! I have captured."
Nell'immagine di lato, riportiamo il messaggio questa volta in lingua inglese, ma rivolto a destinatari italiani, dell'ennesimo tentativo di TRUFFA legato alla Sex Extortion, che richiede un riscatto di 800 Euro in Bitcoin.
Il cybercriminale nel messaggio avverte il malcapitato che qualsiasi tentativo di denuncia sarebbe invano, il criminale non abita in Italia e per localizzarlo ci vorebbero 9 mesi, ignorando il messaggio la sua vita potrebbe essere rovinata. |
 |
Verificando il wallet indicato per il pagamento del riscatto: "3PVXXXXXXXXXXXXXXXXXXXXXXXSimv" ad oggi 13/12/2018 non risultano esserci transazioni in ingresso.
07 Dicembre 2018: "Verify#xxxxx! I really recommend you to read this letter, simply to ensure nothing could occur."
Nell'immagine di lato, riportiamo il messaggio in lingua inglese di un altro tentativo di ricatto legato alla Sex Extortion, che questa volta non sembrerebbe rivolto ad un target italiano
, in quanto il cyber criminale sostiene di provenire dalla Bielorussia.
Sono un hacker che ha violato la tua posta elettronica e il tuo sistema un paio di settimane fa. Hai digitato una password su suna delle pagine internet che hai visitato e così l'ho intercettata. Non provare a contattarmi o a metterti in contatto dato che ho inviato questo messaggio dal tuo account personale. Ho mantenuto tutti i tuoi contatti e la cronologia dei siti che visiti...supponiamo che io abbia inserito il virus su un sito web per adulti che hai visitato e che io abbia un video di te mentre guardi video per adulti. Secondo la mia opinione 1800 usd sono abbastanza per non far circolare questo video tra i tuoi contatti. Hai un giorno per pagare. |
 |
Verificando il wallet indicato per il pagamento del riscatto: "157XXXXXXXXXXXXXXXXXXXXXXXSk" ad oggi 13/12/2018 non risultano esserci transazioni in ingresso.
10 Dicembre 2018: "Security Notice. XXXXXXX was hacked! Change your password now!"
Nell'immagine di lato, riportiamo il messaggio in lingua inglese dell'ennesimo tentativo di ricatto legato alla Sex Extortion.
Sono uno svilupattore di software spyware. Il tuo account è stato violato nell'estate del 2018. Capisco che è difficile da credere ma ecco la mia prova: Ti ho inviato questa e-mail dal tuo account.
L'hacking è stato effettuato utilizzando una vulnerabilità hardware...Ho aggirato il sistema di sicurezza nel router, ho installato un exploit lì. Quando sei andato online, il mio exploit ha scaricato il mio rootkit sul tuo dispositivo. Da allora ti ho seguito, posso vedere tutto ciò che fai, visualizzare e scaricare i tuoi file e tutti i dati personali. Ho anche accesso alla fotocamera sul tuo dispositivo e periodicamente faccio foto e video con te.
Al momento, ho raccolto un video su di te...Ho salvato tutte le tue e-mail e chat dai tuoi contatti messanger. Ho anche salvato l'intera cronologia dei siti che visiti.... conosco la tua vita segreta, che ti stai nascondendo da tutti. Ho scattato foto e video dei tuoi passatempi... Quindi, per il business sono sicuro che non vuoi mostrare questi file a tutti i tuoi contatti." |
 |
La somma richiesta questa volta è di 704 $, verificando il wallet indicato per il pagamento del riscatto: "XXXXXXXXXX7EhXXXXXXXXXXXXX" ad oggi 13/12/2018 risultano esserci 3 transazioni in ingresso per un totale di 2157,62 dollari, pari a 1901,66 Euro.
Come proteggere i tuoi dati dai tentativi di truffa informatica...
Vi invitiamo sempre a diffidare da qualunque e-mail che Vi intima a pagare somme di denaro sotto ricatto e a NON pagare nessuna cifra di denaro in quanto non vi assicurerebbe di bloccare la minaccia.
Quello che invece Vi consigliamo di fare è di cambiare tempestivamente la password di accesso alla posta elettronica, infatti la cosa che dovrebbe più allarmarci è la tecnica utilizzata per inviare queste e-mail di SPAM, che sembrerebbero inviate dallo stesso account di posta elettronica del destinatario, questo significa che i truffatori sono venuti in possesso della Vostra password di accesso al servizio di posta elettronica e presumibilmente anche di altri account, ad esempio dei Social.
| Se sospetti di essere venuto in contatto con virus, spyware, ransomware o più in generale malware di nuova generazione, come anche mail di potenziale malspam, phishing, e volete analizzare lo stato di compromissione dei Vostri PC, potete inviare gratuitamente il materiale da analizzare al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft . |
|
Fate quindi attenzione a non utilizzare le stesse password quando vi iscrivete a diversi tipi di siti/servizi web, in particolare usate password diverse per i servizi sensibili (come l'homebanking, la posta elettronica...), in quanto rischiate di fornire la vostra password su siti poco affidabili che verrebbero facilmente utilizzati per scopi criminali. Sarebbe buona norma quindi differenziare le password usate per ogni sito/servizio web e modificarle sistematicamente.
7 Dicembre 2018 ==> Phishing Poste Italiane
«OGGETTO: <
xxxxxxx, abbiamo bloccato il tuo postepay>
Ecco un nuovo tentativo di phishing che si spaccia per una falsa mail di
Poste Italiane.
Il messaggio informa il cliente che sono state rilevate attività insolite relative al suo account, e quindi come misura di sicurezza sono state limitate alcune funzioni come pagamenti online, trasferimenti bancari e prelievi di denaro. Per ripristinare l'account è necessario confermare la propria identità, cliccando sul seguente link sicuro:
Accedi al collegamento sicuro
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di
Poste Italiane <info(dot)29490(at)bancoposte(dot)it> e contiene un testo estremamente generico. Inoltre non vi è riportato alcun logo e non vi è alcun riferimento sull'intestatario del conto di
Poste Italiane, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Chi dovesse malauguratamente cliccare sul link
Accedi al collegamento sicuro verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito di
Poste Italiane poichè è ospitato su un dominio anomalo e che è già stato segnalato come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
7 Dicembre 2018 ==> Phishing Intesa Sanpaolo
«OGGETTO: <
Per continuare a utilizzare i nostri servizi è necessario simulare in questo momento>
Questo ennesimo tentativo di phishing giunge da una finta e-mail da parte di
Intesa Sanpaolo.
Il messaggio segnala all'ignaro ricevente che è stato sospeso il suo account per questioni di sicurezza e lo invita quindi a convalidare le informazioni del suo account entro 48 ore, per proteggere l apropria identità. Per procedere alla convalida dei dati è sufficiente cliccare sul seguente link:
PROCEDI
Il messaggio di alert giunge da un indirizzo email <2y3pr9(at)birrificio(dot)it> estraneo al dominio di Intesa Sanpaolo e contiene un testo che, oltre ad essere estremamente scarno e conciso, è molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente.
L'intento è quello di portare il ricevente a cliccare sul link:
PROCEDI
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Intesa Sanpaolo ma che, come si può vedere dall' immagine sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
|
A colpo d'occhio la pagina web dove si viene dirottati sembra attendibile, soprattutto grazie agli accorgimenti grafici utilizzati che possono trarre in inganno l'utente. Addirittura in fondo alla pagina sono stati riportati in modo similare, gli stessi dati che si trovano anche nella pagina ufficiale di Intesa Sanpaolo.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che non ha nulla a che fare con Intesa Sanpaolo, come si può notare dall'immagine di lato, e che riportiamo di seguito:
drtrivediscosmodent[.]com/ins/LogIn[.]html |
Inserendo i dati di accesso all'account Intesa Sanpaolo su questo FORM per effettuare l'accesso al conto corrente, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
6 Dicembre 2018 ==> Phishing Aruba: "Sospensione del dominio"
OGGETTO: <Sospensione del dominio XXXXXXXX>
Questo ennesimo tentativo di phishing si spaccia per una falsa comunicazione proveniente da ARUBA.
Il messaggio segnala al ricevente che il suo dominio sta per essere sopseso in quanto non è stato possibile effettuare il rinnovo automatico. Invita quindi il malcapitato a rinnovare il suo dominio, procedendo con il pagamento entro 24 ore. La procedura è semplice, basta cliccare sul seguente link:
http://pagamenti[.]aruba[.]it-XXXXXXX[.]lerelaisdelachaisebleue[.]com/ar/?XXXXXXXX
In prima battuta notiamo che il testo dell'e-mail è molto generico in quanto non contiene nessun riferimento del cliente.
Attenzione all'indirizzo e-mail del mittente che proviene da un indirizzo che potrebbe trarre in inganno in quanto sembrerebbe provenire dal dominio di ARUBA <comunicazioni(at)staff(dot)aruba(dot)it>, inoltre per rendere il tutto più credibile, viene riportato in calce all'e-mail alcuni dati identificativi di ARUBA, come il sito internet e la partita Iva, quest' ultima però risulta essere sbagliata.
Chi dovesse malauguratamente cliccare sul link http://pagamenti[.]aruba[.]it-XXXXXXX[.]lerelaisdelachaisebleue[.]com/ar/?XXXXXXXX verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito ufficiale di ARUBA poichè è ospitato su un dominio anomalo e che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
4 Dicembre 2018 ==> Phishing Intesa Sanpaolo "Bonifico europeo sospetto"
«OGGETTO: <
Notifica! Bonifico sospetto in corso - INT : 6220>
Questo nuovo tentativo di phishing giunge da una finta email da parte di
Intesa Sanpaolo.
Il messaggio segnala all'ignaro ricevente che è stato riscontrato un bonifico europeo sospetto dal suo conto. Nel caso in cui il bonifico non fosse autorizzato lo invita ad annullare l'operazione dal seguente link, in caso contrario di ignorare il presente messaggio:
https://www[.]intesasanpaolo[.]it/verifica/login?annullaOTS=878879&email=*****
Il messaggio di alert giunge da un indirizzo email nascosto, possiamo però notare che il testo oltre ad essere estremamente scarno e conciso, è molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente, così come nessun dato identificativo di Intesa Sanpaolo, il messaggio infatti non è firmato.
L'intento è quello di portare il ricevente a cliccare sul link:
https://www[.]intesasanpaolo[.]it/verifica/login?annullaOTS=878879&email=*****
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di
Intesa Sanpaolo ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali...
4 Dicembre 2018 ==> Phishing Intesa Sanpaolo
«OGGETTO: <
Per continuare a utilizzare i nostri servizi è necessario simulare in questo momento>
Questo nuovo tentativo di phishing giunge da una finta email da parte di
Intesa Sanpaolo.
Il messaggio segnala all'ignaro ricevente che è stato sospeso il suo account per questioni di sicurezza e lo invita quindi a convalidare le informazioni del suo account entro 48 ore, per proteggere l apropria identità. Per procedere alla convalida dei dati è sufficiente cliccare sul seguente link:
PROCEDI
Il messaggio di alert giunge da un indirizzo email <info(at)dtsofthcm(dot)com> estraneo al dominio di Intesa Sanpaolo e contiene un testo che, oltre ad essere estremamente scarno e conciso, è molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente.
L'intento è quello di portare il ricevente a cliccare sul link:
PROCEDI
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Intesa Sanpaolo ma che, come si può vedere dall' immagine sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
|
A colpo d'occhio la pagina web dove si viene dirottati sembra attendibile, soprattutto grazie agli accorgimenti grafici utilizzati che possono trarre in inganno l'utente. Addirittura in fondo alla pagina sono stati riportati in modo similare, gli stessi dati che si trovano anche nella pagina ufficiale di Intesa Sanpaolo.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che non ha nulla a che fare con Intesa Sanpaolo, come si può notare dall'immagine di lato, e che riportiamo di seguito:
brwtruckrepair[.]com/inz/LogIn[.]html |
Inserendo i dati di accesso all'account Intesa Sanpaolo su questo FORM per effettuare l'accesso al conto corrente, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
3 Dicembre 2018 ==> Phishing Apple
«OGGETTO: <
Il tuo ID Apple e stato utilizzato per accedere a iCloud da un browser web>
Ecco un altro tentativo di phishing che si spaccia per una finta email da parte di
Apple.
Il messaggio, estremamente conciso, avverte il ricevente che il suo Apple ID è stato utilizzato per effettuare un tentativo dfi accesso a iCloud da un altro browser, e per completezza vengono indicati il luogo e anche il giorno e l'orario in cui è stato registrato l'accesso. Quindi invita il destinatario a verificare le informazioni inserite nel suo Apple ID nel caso in cui non riconosca il tentativo di accesso segnalato, cliccando sul link ''Il mio ID Apple'' per approfondire.
Lo scopo è quello di indurre, con l'inganno, l'ignaro destinatario ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.
La mail di alert giunge da un indirizzo email <do_not(at)replay(dot)jp> che, non proviene dal dominio ufficiale di Apple. I cyber-criminali ideatori della truffa hanno avuto tuttavia l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.
L'intento è quello di portare il ricevente a cliccare sul link
Il mio ID Apple
|
|
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con Apple...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
https://api[.]bicibague[.]com/media/date/IT/Login[.]php?.... |
Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
3 Dicembre 2018 ==> Phishing Aruba: "Il servizio verrà sospeso tra 48 ore"
OGGETTO: <[URGENTE: Fatturazione] (ar#219452) Il servizio verrà sospeso tra 48 ore>
Questo ennesimo tentativo di phishing si spaccia per una falsa comunicazione proveniente da ARUBA.
Il messaggio segnala al ricevente che non è stato possibile eseguire il rinnovo automatico del servizio AR-1204-9831, in quanto è fallito il tentativo di addebito di Euro 9,99 sul suo account. Invita quindi il malcapitato a rinnovare il suo dominio entro il 5 dicembre, accedendo alla sua area riservata, da dove potrà effettuare un nuovo tentativo di pagamento oppure modificare il metodo di pagamento. La procedura è semplice, basta cliccare sul seguente link per accedere alla propria area:
Area Clienti
In prima battuta notiamo che il testo dell'e-mail è molto generico in quanto non contiene nessun riferimento del cliente, tuttavia per rendere il messaggio più attendibile il cybercriminale ha inserito in calce al messaggio dei presunti dati identificativi di ARUBA come la Partita Iva, e un'informativa su come disiscreversi dal servizio indirizzata all'indirizzo e-mail del malcapitato.
Attenzione all'indirizzo e-mail del mittente che proviene da un indirizzo che potrebbe trarre in inganno in quanto sembrerebbe provenire dal dominio di ARUBA <admin(at)arubafatture(dot)com>, il link indicato dirotta tuttavia su una pagina web che ha un indirizzo url che non è riconducibile al dominio ufficiale di ARUBA.
Chi dovesse malauguratamente cliccare sul link Area Clienti verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito ufficiale di ARUBA poichè è ospitato su un dominio anomalo e che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
3 Dicembre 2018 ==> CyberEstorsione => Sextortion minaccia via e-mail in cambio di un riscatto in Bitcoin
Anche questo mese si ripresenta il tentativo di ricatto via mail per tentare una estorsione in denaro (Bitcoin) con la minaccia di divulgare un video privato...fate attenzione e non cedete a questi ricatti!!
L' e-mail, che ritroviamo in lingua inglese, minaccia l'utente di divulgare
un suo video privato mentre guarda siti per adulti,, e gli propone un'offerta
per non divulgare tra i suoi contatti mail e social il suo video privato invitandolo a pagare $974.
Cosa recita il messaggio di SCAM
Nell'immagine di lato, riportiamo il messaggio (in lingua inglese) del tentativo di TRUFFA chiamato SCAM, che di seguito riassumiamo:
"
Sono uno svilupattore di software spyware. Il tuo account è stato violato nell'estate del 2018. Capisco che è difficile da credere ma ecco la mia prova: Ti ho inviato questa e-mail dal tuo account. L'hacking è stato effettuato utilizzando una vulnerabilità hardware...Ho aggirato il sistema di sicurezza nel router, ho installato un exploit lì. Quando sei andato online, il mio exploit ha scaricato il mio rootkit sul tuo dispositivo.
Da allora ti ho seguito, posso vedere tutto ciò che fai, visualizzare e scaricare i tuoi file e tutti i dati personali. Ho anche accesso alla fotocamera sul tuo dispositivo e periodicamente faccio foto e video con te.
Al momento, ho raccolto un video su di te...Ho salvato tutte le tue e-mail e chat dai tuoi contatti messanger. Ho anche salvato l'intera cronologia dei siti che visiti.... conosco la tua vita segreta, che ti stai nascondendo da tutti. Ho scattato foto e video dei tuoi passatempi... Quindi, per il business sono sicuro che non vuoi mostrare questi file a tutti i tuoi contatti."
|
 |
Va notato che il cybercriminale sostiene di possedere la password utilizzata dall'utente sul suo account di posta elettronica.
| Questo è uno dei motivi che chi riceve il messaggio crede a quello che viene poi riportato dal cybercriminale, credendo che abbia avuto accesso al proprio dispositivo. La tecnica in realtà è quella di sfruttare le password provenienti da Leak (furto di dati) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.) approfittando dell'abitudine avventata, ma spesso molto comune, di utilizzare la stessa password per servizi Web differenti. |
|
Il testo del messaggio è particolarmente dettagliato in quanto viene indicato il modo in cui il dispositivo è stato hackerato, il virus installato oltrettutto è dotato di un avviso automatico che avverte il cybercriminale quando l'e-mail viene aperta, e da quel momento il malcapitato ha tempo 48 ore per pagare. Viene quindi indicato il wallet per il pagamento in Bitcoin e dove trovare le istruzioni su "come trasferire denaro a un portafoglio bitcoin".
Infine è lo stesso cybercriminale che lascia un consiglio al malcapitato "
Ti consiglio di essere prudente..."
E il riscatto... Qualcuno ha pagato?
Il malcapitato destinatario alla ricezione del messaggio può decidere, di ignorarlo con il rischio che il presunto video venga messo in circolazione tra i suoi contatti oppure pagare la somma richiesta di $ 974 in cambio il video verrà eliminato. Per pagare inoltre ha tempo 48 ore altrimenti il video verrà messo in circolazione.
L'obbiettivo di questa TRUFFA è ovviamente quello di estorcere una somma in denaro con una transazione in Bitcoin (che può variare come abbiamo visto nei messaggi che circolano in questi mesi da 300 $ ai 2000 $ fino a 7000 $).
Verificando il wallet indicato per il pagamento del riscatto: "
XXXXXXXXXXXXXXXXXXXXXXXXx3M" ad oggi
05/12/2018 non risultano esserci transazioni in ingresso.
Come proteggere i tuoi dati dai tentativi di truffa informatica...
Vi invitiamo sempre a diffidare da qualunque e-mail che Vi intima a pagare grosse somme di denaro sotto ricatto e a NON pagare nessuna cifra di denaro in quanto non vi assicurerebbe di bloccare la minaccia.
Quello che invece Vi consigliamo di fare è di cambiare tempestivamente la password di accesso alla posta elettronica, infatti la cosa che dovrebbe più allarmarci è l'oggetto del messaggio che nasconde la nostra password di accesso al servizio di posta elettronica, questo significa che i truffatori sono venuti in possesso della Vostra password di accesso al servizio di posta elettronica e presumibilmente anche di altri account, ad esempio dei Social.
| Se sospetti di essere venuto in contatto con virus, spyware, ransomware o più in generale malware di nuova generazione, come anche mail di potenziale malspam, phishing, e volete analizzare lo stato di compromissione dei Vostri PC, potete inviare gratuitamente il materiale da analizzare al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft . |
|
Fate quindi attenzione a non utilizzare le stesse password quando vi iscrivete a diversi tipi di siti/servizi web, in particolare usate password diverse per i servizi sensibili (come l'homebanking, la posta elettronica...), in quanto rischiate di fornire la vostra password su siti poco affidabili che verrebbero facilmente utilizzati per scopi criminali. Sarebbe buona norma quindi differenziare le password usate per ogni sito/servizio web e modificarle sistematicamente.
Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...
Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
08/11/2018 11:37:10 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2018...
04/10/2018 17:22:49 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2018...
03/09/2018 15:11:00 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2018...
06/08/2018 10:55:24 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2018...
10/07/2018 14:57:39 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2018...
05/06/2018 15:41:28 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2018...
10/05/2018 10:23:32 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2018...
03/04/2018 15:38:12 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2018...
19/03/2017 10:51:40 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2018...
14/02/2018 15:06:31 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2018...
08/01/2018 15:06:04 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2018...
19/12/2017 16:11:12 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2017...
Prova Vir.IT eXplorer Lite
Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.
Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari: |
 |
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
Vir.IT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM
Vir.IT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
Ringraziamenti
Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.
Particolari ringraziamenti al sig. Marco Mirra e al sig. Giuseppe Pistoia per la fattiva collaborazione che hanno voluto accordarci con l'invio di materiale per l'analisi.
Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
- qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
- salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (https://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft
