Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di settembre 2017. Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

INDICE dei PHISHING 21/09/2017 => PostePay 18/09/2017 => Postepay 17/09/2017 => Ferrero 13/09/2017 => WeTransfer 07/09/2017 => PayPal Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi... Ringraziamenti Come inviare e-mail sospette per l'analisi

 

21 settembre 2017 ==> Phishing PostePay

OGGETTO:
<(#1663407) Avviso XX e PostePay.eml>

Questo nuovo tentativo di phishing si spaccia per una falsa comunicazione di PostePay.

Il messaggio segnala al ricevente che dal 23 settembre 2017 verrà attivato il nuovo Sistema di Sicurezza Web che garantirebbe maggior affidabilità alle operazioni di pagamento online effettuate con la propria carta Postepay. Per poter usufruire di tale servizio è necessario scaricare il documento allegato "Documento_Cliente_
PostePay_120S739Ce3S62e31
e seguire le istruzioni.

In prima battuta notiamo che il testo dell'email è molto generico in quanto non contiene alcun dato identificativo di  Poste Italiane, se non la firma generica.
Tuttavia i cyber-criminali hanno avuto l'accortezza di inserire più volte il nominativo del destinatario dell'e-mail, in questo modo il testo potrebbe sembrare più veritiero.

Chi dovesse malauguratamente scaricare il documento allegato "Documento_Cliente_
PostePay_120S739Ce3S62e31.htm" verrà indirizzato su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali nome utente e password. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Poste Italiane poichè è ospitato su un dominio anomalo.

Infatti il sito internet riportato in calce '''www[.]modanliraf[.]com/ id-sessione:1852134558/...'' non ha alcun legame con il sito web di Poste Italiane perchè risiede su un dominio anomalo. L'assenza del protocollo HTTPS inoltre dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

18 settembre 2017 ==> Phishing PostePay

«OGGETTO: <Aggiorna i tuoi recapiti !>

Questo phishing si cela dietro una falsa comunicazione di PostePay.

Il messaggio segnala al ricevente l'opportunità di aderire al Sistema Sicurezza Web che garantirebbe maggior affidabilità alle operazioni di pagamento online effettuate con la propria carta Postepay.  Per poter usufruire di tale servizio è necessario cliccare su uno dei link riportati nella mail e convalidare i propri dati.

In prima battuta notiamo che l'indirizzo email del mittente è anomalo poichè non sembra aver alcun legame con il sito ufficiale di Poste Italiane.
Il messaggio inoltre contiene un testo molto generico. Si rivolge infatti ad un ''Gentile cliente'' non facendo alcun riferimento all'intestatario della carta PostePay oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Tutti questi elementi dovrebbero essere un chiaro segnale sull'inattendibilità della mail sebbene i cyber-criminali ideatori della truffa abbiano avuto l'accorgimento di inserire anche dei falsi dati identificativi di Poste Italiane

_____________________________________

(c) Poste italiane 2014 - Partita Iva 01114601006

Per rendere l'alert più credibile per di più sono stati inseriti i link di fondo | Trasparenza bancaria | Sicurezza | Privacy | che, se cliccati, rimandato effettivamente al sito ufficiale di Poste Italiane. Non possiamo dire lo stesso dei link riportati di seguito

• link
• Accesso ai Servizi Online

che, al contrario, dirottano su una pagina web che non ha nulla a che vedere con Poste Italiane.

Chi dovesse malauguratamente cliccare su di essi verrà indirizzato su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali nome utente e password. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Poste Italiane poichè è ospitato su un dominio anomalo.

Infatti il sito internet riportato in calce '''.......americanunfinished[.]com'' non ha alcun legame con il sito web di Poste Italiane perchè risiede su un dominio anomalo. L'assenza del protocollo HTTPS inoltre dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

17 settembre 2017 ==> Phishing Ferrero

«OGGETTO: < Vincitore regionale assortimento>

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di FERRERO.

II messaggio sollecita il ricevente ad usufruire dell'opportunità di vincere un barattolo da 5 Kg della Nutella. Per partecipare all'estrazione è neccessario continuare cliccando sul link Clicca qui per continuare!.
Chiaramente la nota azienda di commercio FERRERO  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che non è presente alcun riferimento identificativo che possa ricondurci all'azienda FERRERO, quali sede legale, partita IVA o eventuali recapiti telefonici. Il messaggio oltretutto non è firmato, anche se graficamente potrebbe trarre in inganno in quanto i cyber truffatori hanno avuto l'accortezza di inserire delle immagini della crema alle nocciole spalmabile più conosciuta al mondo.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente info(at)news(dot)premiepromozioni(dot)it che non proviene dal dominio reale di FERRERO ma da uno anomalo.

L'ignaro destinatario che, malauguratamente, dovesse premere sul link

''Clicca qui per continuare!''

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di FERRERO.

La tab del broswer che si apre inviterà l'utente a rispondere ad un sondaggio che dovrebbe permettergli di vincere come premio un barattolo da 5 kg della Nutella. Al termine del sondaggio il sito rimanda ad un FORM di autenticazione dove vengono richiesti dati sensibili.

Come visualizzato nella videata in calce, possiamo notare facilmente che l'indirizzo sulla barra del broswer non ha nulla a che fare con FERRERO poichè è ospitato su un dominio anomalo e questo dovrebbe essere un chiaro segnale sull' inattendibilità del FORM.

La pagina web di inserimento dati ha come indirizzo url

www(dot)chocopasta(dot)vouchervinci(dash)2792(dot)com...

che non è in nessun modo riconducibile a FERRERO.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

13 settembre 2017 ==> Phishing Casella di Posta

«OGGETTO: < m.momolo@mail sent you a file via WeTransfer>

La tab del broswer che si apre inviterà l'utente a selezionare il proprio email provider per poter scaricare il file ricevuto tramite WeTransfer.

Selezionando, per esempio Gmail, si apre la falsa pagina di autenticazione di Google Account. Possiamo notare facilmente che l'indirizzo sulla barra del broswer non ha nulla a che fare con Gmail poichè è ospitato su un dominio anomalo.

7 settembre 2017 ==> Phishing PayPal

«OGGETTO: <Il tuo conto è limitato>

Questo primo tentativo di phishing del mese di Settembre si spaccia per una falsa mail di PayPal.

Come evidenziato nell'immagine qui a fianco il form di autenticazione simula quello originale. Tuttavia l'indirizzo della pagina web non proviene dal dominio ufficiale di PayPal, questi siti temporanei sono infatti creati ad hoc per rubare dati sensisbili del malcapitato.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
03/08/2017 10:31:05 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2017...
06/07/2017 15:02:36 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2017...
06/06/2017 15:07:05 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2017...
03/05/2017 17:47:35 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2017...
06/04/2017 11:10:07 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2017...
01/03/2017 06:52:30 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2017...
06/02/2017 19:14:12 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2017...
02/01/2017 19:21:43 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2017...
01/12/2016 14:36:20 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2016...
02/11/2016 19:42:09 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2016...
02/10/2016 11:35:15 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2016...
03/09/2016 12:17:53 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2016...

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza: TG Soft rende disponibile Vir.IT eXplorer Lite liberamente utilizzabile sia in ambito privato che in ambito aziendale; Vir.IT eXplorer Lite è stato specificatamente progettato per essere utilizzato ad integrazione di qualsiasi altro AV o Internet Security già presenti sul computer, senza doverli disinstallare o disabilitarne moduli, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità poichè la sicurezza non è mai abbastanza. Vai alla pagina di download.

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.

Particolari ringraziamenti al Sig. Marco Mira per la fattiva collaborazione che ha voluto accordarci con l'invio di materiale per l'analisi.

Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:

1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).

Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 

C.R.A.M. Centro Ricerche Anti-Malware di TG Soft