Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di OTTOBRE 2019.
Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
|
INDICE dei PHISHING
|
26 Ottobre 2019 ==> Phishing CartaSi
«OGGETTO: <
CartaSi informa>
Questo nuovo tentativo di phishing giunge da una finta e-mail da parte di
CartaSi
Il messaggio, estremamente scarno e conciso, informa il destinatario che per motivi di sicurezza il suo conto è stato limitato. Sembrerebbe necessario quindi cliccare sul link Verifica adesso
In prima battuta possiamo notare che l'alert giunge da un indirizzo email postmaster[at]planttel[.]net che non sembra per nulla riconducibile a CartaSi. Questo dovrebbe quantomai insospettirci.
Inoltre notiamo che il testo è molto semplice e generico. Non viene infatti riportato alcun dato identificativo del cliente, nè alcun dato identificativo di CartaSi come la P.IVA o sede legale, ad eccezione del logo.
L'intento è quello di portare il ricevente a cliccare sul link:
Verifica adesso
che dirotta su una pagina WEB che non ha nulla a che vedere con il sito di
CartaSi, ma che è già stata segnalata come pagina /SITO INGANNEVOLE in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
14 Ottobre 2019 ==> Phishing Aruba
«OGGETTO: <
Ti informiamo che il tuo dominio scadra >
Il seguente tentativo di phishing giunge da una falsa comunicazione da parte di
Aruba.
II messaggio informa il ricevente che il suo dominio, attualmente ospitato da
Aruba, scadrà il giorno 14/10/2019, qualora non venga rinnovato i servizi ad esso associati veranno disattivati e non potrà più essere utilizzato per l'invio e la ricezione. Quindi invita il malcapitato a provvedere manualmente al rinnovo e a confermare i dati della carta di credito, compilando il modulo e seguendo le istruzioni sul seguente link:
RINNOVA IL DOMINIO
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini,
Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <
assistenza(at)hostingaruba(dot)it> non proviene dal dominio di
Aruba,
ma potrebbe trarre in inganno.
Ad insospettirci, oltre all' indirizzo email del mittente non riconducibile in nessun modo ad
Aruba, vi è il testo generico del messaggio che si rivolge ad un ''
Gentile cliente'' non facendo alcun riferimento al titolare della casella email oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni di questo tipo.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
RINNOVA IL DOMINIO
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
Aruba che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di
Aruba ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..
9 Ottobre 2019 ==> Phishing PayPal
«OGGETTO: <
Hai aggiunto un nuovo indirizzo>
Ecco un altro tentativo di phishing che giunge questa volta da una falsa mail di
PayPal.
Il messaggio informa il cliente che è statoaggiunto un nuovo indirzzo al suo conto PayPal, e per completezza viene riportato l'indirizzo. Quindi invita l'utente a comunicare immediatamente se non è stato lui ad apportare la modifica in modo da evitare che qualcuno acceda al suo conto a sua insaputa, lo invita quindi a cliccare sul seguente link:
Informaci immediatamente
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email
<info(at)studiomrz(dot)it> che non è chiaramente riconducibile al dominio di
PayPal.
Sebbene nella mail non ci sia alcun riferimento all'account oggetto della verifica possiamo notare che il cybercriminale ha comunque avuto l'accorgimento grafico di inserire il logo di
PayPal e dei dati in calce al messaggio ("
Copyright © 1999-2018 PayPal. Tutti i diritti riservati. PayPal (Europe) S.à r.l. et Cie, S.C.A. Société en Commandite par Actions") e questo potrebbe trarre in inganno un utente inesperto.
Chi dovesse malauguratamente cliccare sul link
Informaci immediatamente verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
PayPal.
|
Come si può vedere dall' immagine di lato la pagina web dove si viene dirottati per effettuare l'accesso al proprio account di PayPal è impostata in modo ragionevolmente ingannevole per un utente inesperto.
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
https[:]//www[.]bps-net[.]eu/ita/www[.]paypa1.]c0m/it/signin... |
In conclusione vi invitiamo sempre a diffidare da qualunque e-mail che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
6 ottobre 2019 ==> Phishing Apple
«OGGETTO: <
Il tuo ID Apple e stato utilizzato per accedere a iCloud da un browser web>
Ecco un altro tentativo di phishing che si spaccia per una finta e-mail da parte di
Apple.
Il messaggio, estremamente conciso, avverte il ricevente che il suo Apple ID è stato utilizzato per effettuare un tentativo dfi accesso a iCloud da un altro browser, e per completezza vengono indicati il luogo e anche il giorno e l'orario in cui è stato registrato l'accesso. Quindi invita il destinatario a verificare le informazioni inserite nel suo Apple ID nel caso in cui non riconosca il tentativo di accesso segnalato, cliccando sul link ''Il mio ID Apple'' per approfondire.
Lo scopo è quello di indurre, con l'inganno, l'ignaro destinatario ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.
La mail di alert giunge da un indirizzo email <app(at)rep(dot)com> che, non proviene dal dominio ufficiale di Apple. I cyber-criminali ideatori della truffa hanno avuto tuttavia l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.
L'intento è quello di portare il ricevente a cliccare sul link
Il mio ID Apple
|
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con Apple...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
https[:]//www[.]emozionedata[.]it/Mym/IT/Login[.]php?.... |
Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
04 Ottobre 2019 ==> Phishing AMAZON
«OGGETTO: <
Il tuo account Amazon.it e incompleto: aggiornalo ora>
Il seguente tentativo di phishing giunge da una falsa comunicazione da parte di
AMAZON.
II messaggio informa il ricevente che a causa di un aggiornamento sono stati sospesi i pagamenti con carta di credito, prima di riabilitare la carta è necessario confermare la propria identità, aggiornando i propri dati nel portale di
AMAZON. Quindi invita l'utente ad effettuare la registrazione entro 48 ore per poter effettuare di nuovo i pagamenti con carta dic redito, cliccando sul seguente link:
Assistenza e contattaci
Chiaramente la nota azienda di commercio
AMAZON è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che non è presente alcun riferimento identificativo che possa ricondurci all'azienda
AMAZON, quali sede legale, partita IVA o eventuali recapiti telefonici. Il messaggio oltretutto non è firmato.
Attenzione però all'indirizzo email del mittente <
info(at)cliente(dot)it> che chiaramente non proviene dal dominio reale di
AMAZON.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
Assistenza e contattaci
verrà indirizzato su una pagina WEB malevola, che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con AMAZON...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
amazon-net-info2019[.]casacam[.]net/centro_clienti/... |
Inserendo i propri dati su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
02 Ottobre 2019 ==> Phishing ''Congratulazioni, utente!''
Questo nuovo tentativo di Phishing proviene da un falso messaggio che allude ad una possibile vincita di uno smartphone.
''Congratulazioni, utente !''
Sei una delle 7 persone selezionate per partecipare al nostro programma
di fidelizzazione! Puoi ottenere 1 regalo su 4!
Fai clic su ''OK'' per iniziare'!'
Questa meravigliosa possibile vincita è stata proposta durante la consultazione di un articolo sul Calcio Padova...ma non è da escludere che possa comparire su altri articoli.
L'ignaro destinatario sembra stato selezionato per partecipare ad un programma di fidelizzazione. Sembrerebbe infatti che ci sia la possibilità di ottenere 1 regalo su 4 con un semplice clic su ''OK''.
In calce mostriamo la pagina in cui viene offerta la possibilità di partecipare al Programma Fedeltà per ottenere come premio uno smartphone. Il ''fortunato'' deve semplicemente ''girare la ruota'' per tentare la vincita... Tuttavia notiamo fin da subito che la pagina è ospitata su un indirizzo/dominio anomalo...
|
|
Nello specifico la pagina web è d2cabfzcca78ju(.)cloudfront(.)net che non sembra per nulla attendibile. Inoltre il primo tentativo sembra non essere andato a buon fine eppure oggi siamo proprio fortunati..abbiamo una prova in più per ritentare la vincita.. Perchè tirarsi indietro? |
|
|
|
Ed ecco infatti che ritentando la fortuna otteniamo in premio un iPhone 11 Pro o così sembra..
''Congratulazioni!
Yhai la possibilità di vincere il nuovo iPhone 11 Pro!''
Per procedere è necessario cliccare sul link ''Scegliere'' per indicare le proprie preferenze sul colore dell'iPhone e soprattutto per inserire i propri dati tra cui l'indirizzo di spedizione.
Viene dato un tempo massimo per effettuare l'operazione pari a
4 minuti e 50 secondi.. dopo il quale l'offerta non sarà più valida.
Chiaramente lo scopo di chi ha ideato la truffa è proprio quello di mettere fretta all'utente per poter riuscire ad accedere ai suoi dati sensibili.
A scanso di equivoci si tratta di un tentativo di phishing volto a carpire i vostri dati personali quando, con qualche stratagemma, i CyberCriminali puntino direttamente ai dati della vostra carta di credito.
Sicuramente per molti utenti inesperti dietro questo phishing si cela un vero e proprio specchietto per le allodole.
D'altronde a chi non farebbe gola tentare di ottenere come premio un nuovo smartphone?!
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.
|
Riportiamo di lato anche la videata in cui viene richiesto l'inserimento di dati personali e la richiesta di pagamento di 1,95 Euro per ottenere lo smartphone dal valore di ben 1159 Euro in premio.
Oltretutto, dalla videata successiva sembrerebbe che per vincere l'iPhone sia necessario iscriversi al servizio in abbonamento del partner del sito web... tutto questo alla modica cifra di Euro 65,85 ogni 30 giorni, addebitata sulla propria carta di credito. Proprio i dati di quest'ultima sono l'obiettivo primario di queste truffe, sempre più svariate e diffuse.
|
In conclusione vi invitiamo sempre a diffidare da qualunque form che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina
2 Ottobre 2019 ==> SexTortion: IMPORTANTE! Ti ho registrato...
Anche questo mese ritroviamo il tentativo di SCAM, di cui vi riportiamo di seguito il testo in lingua italiana rivolto quindi ad un target principalmente italiano, che minaccia l'utente di divulgare
un suo video privato mentre guarda siti per adulti, e gli propone un'offerta
per non divulgare il video tra i suoi contatti mail e social invitandolo a pagare una somma di denaro sottoforma di Bitcoin.
"Ciao, cara vittima. Ti scrivo perché ho installato un ʍalware sulla pagina web con i siti Ƿorno che hai visitato. Il mio vίrus ha preso tutte le tue informazioni personali e ha acceso la tua fotocaʍera che ti ha ripreso mentre ti ʍαsturbi. Devo ammettere che sei molto pervertito... Subito dopo il software ha copiato la lista dei tuoi contatti. Cancellerò questo vίdeo compromettente se mi pagherai. Ti do 48 ore di tempo dopo che hai aperto il mio messaggio per effettuare la transazione. Vedrò subito quando apri il messaggio.Puoi andare al posto di polizia locale, ma nessuno ti può aiutare. Se cerchi di imbrogliarmi, lo vedrò subito!" |
|
Viene quindi richiesto di inviare 2000€ in BTC sul seguente portafoglio Bitcoin:
"38XXXXXXXXXXXXXXXXXXXXXX4zKXX", vista la somma richiesta il criminale dà a disposizione 48 ore di tempo, con la possibilità di richiedere ulteriori 48 ore. Dopo aver ricevuto la transazione tutti i dati veranno cancellati, altrimenti in caso contrario un video che ritrae l'utente, verrà mandato a tutti i colleghi, amici e parenti!
Analizzando i pagamenti effettuati sul wallet indicato dal cyber criminale "
38XXXXXXXXXXXXXXXXXXXXXX4zKXX" ad oggi 08/10/2019, il wallet risulta vuoto.
In questi casi vi invitiamo a:
- non rispondere a questo genere di e-mail e a non aprire allegati o a cliccare righe contenenti link non sicuri, e certamente a NON inviare alcuna somma di denaro.
- Nel caso in cui il criminale dovesse riportare una password effettiva utilizzata dall'utente -la tecnica è quella di sfruttare le password provenienti da Leak (furto di dati compromessi) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.)- è consigliabile cambiarla e attivare l'autenticazione a due fattori su quel servizio.
Come proteggere i tuoi dati dai tentativi di truffa informatica...
Quello che Vi consigliamo di fare è di cambiare tempestivamente la password di accesso alla posta elettronica, infatti in questi casi il cybercrimanle sostiene di conoscere la Vostra password e in alcuni esempi la password viene riportata nel corpo del messaggio, e se la stessa password viene utilizzata per accedere ad altri account è consigliabile modificarla su tutti gli account in cui è stat utilizzata.
Fate quindi attenzione a non utilizzare le stesse password quando vi iscrivete a diversi tipi di siti/servizi web, in particolare usate password diverse per i servizi sensibili (come l'homebanking, la posta elettronica...), in quanto rischiate di fornire la vostra password su siti poco affidabili che verrebbero facilmente utilizzati per scopi criminali. Sarebbe buona norma quindi differenziare le password usate per ogni sito/servizio web e modificarle sistematicamente.
Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...
Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
02/09/2019 09:22:37 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2019...
01/08/2019 15:17:54 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2019...
02/07/2019 16:18:21 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2019...
03/06/2019 15:42:50 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2019...
13/05/2019 09:20:34 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2019...
03/04/2019 09:50:09 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2019...
05/03/2019 10:10:57 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2019...
04/02/2019 11:17:34 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2019...
07/01/2019 18:22:55 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2019...
04/12/2018 09:10:21 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2018...
08/11/2018 11:37:10 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2018...
04/10/2018 17:22:49 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2018...
03/09/2018 15:11:00 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2018...
Prova Vir.IT eXplorer Lite
Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.
Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari: |
|
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM
VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
Ringraziamenti
Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.
Particolari ringraziamenti al sig. Marco Mira e al sig. Giuseppe Pistoia per la fattiva collaborazione che hanno voluto accordarci con l'invio di materiale per l'analisi.
Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
- qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
- salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (https://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft