INDICE dei PHISHING
Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di
maggio 2024:
31/05/2024 =>
Aruba
22/05/2024 =>
GruppoBCC
22/05/2024 =>
Smishing Banco BPM
20/05/2024 =>
Smishing ING Direct
19/05/2024 =>
LIDL
14/05/2024 =>
BRT
09/05/2024 =>
Istituto Bancario
08/05/2024 =>
Shein
07/05/2024 =>
Aruba
03/05/2024 =>
iCloud
02/05/2024 =>
Aruba -
Dominio in scadenza
02/05/2024 =>
PosteItaliane - Pacco in sospeso
Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
22 Maggio 2024 ==> Phishing Gruppo BCC
OGGETTO: <
Problema di sicurezza! >
Ritroviamo questo mese la campagna di phishing, che giunge attraverso un'e-mail che, sfruttando la grafica rubata, o simile, a quella di un noto Istituto Bancario nazionale
, cerca di spacciarsi per una comunicazione ufficiale, per indurre l'ignaro ricevente ad effettuare quanto richiesto e a cadere in questo tranello basato su tecniche di ingegneria sociale (social engeenering).
Il messaggio
segnala all'ignaro ricevente che a causa di un problema di sicurezza è necessario applicare le nuove modifiche per evitare di perdere l'accesso al portale. Sembra necessario cliccare quindi sul link proposto
RELAXBANKING.IT/SICUREZZA.
Possiamo notare sin da subito che il messaggio di alert giunge da un indirizzo e-mail <
info(at)relaxing(dot)it> che, per quanto illusorio, resta comunque sospetto poichè non riconducibile ufficialmente al dominio autentico di
GRUPPO BCC. Notiamo altresì che il messaggio contiene un testo molto generico, anche se il cybercriminale ha avuto l'accortezza grafica di inserire il noto logo dell'istituto bancario che potrebbe trarre in inganno l'utente.
L'intento è quello di portare il malcapitato ad effettuare il login e rinnovare l'attivazione della sua app bancaria.
Per procedere al rinnovo è necessario cliccare sul seguente link
RELAXBANKING.IT/SICUREZZA
Chi dovesse malauguratamente cliccare sul link
RELAXBANKING.IT/SICUREZZA verrà dirottato su una pagina WEB anomala, che non ha nulla a che vedere con il sito ufficiale del noto Istituto Bancario .
Dall'immagine riportata di lato possiamo notare che la pagina web è graficamente ben fatta e simula discretamente il sito ufficiale del portale bancario
...tutto questo con l'obiettivo di rassicurare ulteriormente l'utente sulla veridicità del portale.
Alla luce di queste considerazioni vi invitiamo a prestare molta attenzione ad ogni dettaglio fuorviante ricordando che come buona regola prima di procedere all'inserimento di dati sensibili, in questo caso le credenziali dell'home banking ovvero Codice Utente e Password, è fondamentale analizzare l'indirizzo ulr in cui è ospitato il form di autenticazione.
La pagina di atterraggio in questo caso è ospitata sull'indirizzo url:
https://dvcargo[.]ru/it/relaxit/
che non ha nulla a che fare con il sito ufficiale del noto istituto bancario.
Questa pagina /SITO INGANNEVOLE è gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
22 Maggio 2024 ==> Smishing Banco BPM
Analizziamo di seguito due tentativi di smishing, che si celano dietro a falsi sms giunti, sfruttando il nome del noto istituto di credito
Banco BPM, e che cerca di spacciarsi per una comunicazione ufficiale, per indurre l'ignaro ricevente ad effettuare quanto richiesto e a cadere in questo tranello basato su tecniche di ingegneria sociale (social engeenering).
Nei messaggi che riportiamo in alto, viene segnalato all'ignaro ricevente che è stata richiesta una spesa dal suo conto corrente per Euro 1.280,00.
Lo invita quindi a verificare tale richiesta di pagamento attraverso il link proposto. Notiamo che i messaggi sono simili, quello che cambia è il sito di atterraggio, che riporta a due indirizzi url diversi:
"
https://ehs**[.]site/accesso" e "
https://t.**/youbusinessweb[.]bancobpm[.]it"
E' logico che se il destinatario dell'sms non sia cliente di
Banco BPM sia più intuitivo chiedersi cosa si celi effettivamente dietro questo sms anomalo. Ma spesso il destinatario risulta effettivamente cliente dell'Istituto bancario tanto che il messaggio giunge nella chat dove vengono recapitati i codici per autorizzare i pagamenti effettuati con la carta di credito associata. A maggior ragione è fondamentale saper riconoscere questi, ormai diffusi, tentativi di frode informatica. E' importante ricordare soprattutto che in nessun caso gli istituti bancari/circuiti di pagamento richiedono ai clienti di fornire i dati della propria carta di pagamento attraverso e-mail, sms o call center.
Tornando agli esempi riportati, possiamo notare in primis che l'sms ricevuto è molto generico.. Di fatto non è riportato alcun dato identificativo del titolare del conto oggetto dell'alert, cosa che dovrebbe già insospettire. E' chiaro che l'intento dei cyber-criminali è di portare l'utente a cliccare tempestivamente sul link per bloccare il pagamento non autorizzato.
Come possiamo vedere dall' immagine riportata, la pagina web in cui si viene dirottati è davvero ben fatta in quanto simula quel del sito ufficiale dell'Istituto bancario, risultando ragionevolmente ingannevole, sia dal punto di vista grafico che testuale.
Per rassicurare l'utente sull'autenticità della pagina i cyber-criminali hanno avuto infatti l'accorgimento di inserire il logo autentico e di impostare la pagina con la stessa grafica del sito ufficiale.
La pagina di accesso alla gestione dell'account però è ospitata su un indirizzo/dominio anomalo che non è riconducibile al dominio ufficiale dell'Istituto bancario e che riportiamo di seguito:
"
https://ehs**[.]site/accesso"
o
"
https://t.**/youbusinessweb[.]bancobpm[.]it"
Entrambi i link riportano ad una pagina web, ospitata su due diversi domini ma che graficamente sono uguali.
Inserendo i dati di accesso su questo FORM per effettuare l'accesso al conto corrente, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
20 Maggio 2024 ==> Smishing ING Direct
Analizziamo di seguito un nuovo tentativo di smishing che si spaccia, questa volta, per una comunicazione via sms di
ING Direct.
Si tratta, nello specifico, di un sms di alert che notifica al destinatario la rilevazione di un dispositivo anomalo che ha effettuato l'accesso alla sua area riservata. Viene indicato quindi un link per procedere al blocco dell'utenza sospetta.
E' logico che se il destinatario dell'sms non sia effettivamente cliente di
ING Direct sia più immediato chiedersi cosa si celi effettivamente dietro questo sms anomalo. Ma se anche fosse cliente del noto istituto bancario, è quantomeno importante ricordare che in nessun caso gli istituti bancari richiedono ai clienti di fornire dati personali e soprattutto le credenziali di accesso all'home banking attraverso SMS ed e-mail.
Già nell'sms sospetto infatti notiamo che l'intento dei cyber-criminali è di portare l'utente, allarmato per la segnalazione dell'accesso anomalo, a cliccare tempestivamente sul link
https://urlz[.]**/q**w
Quest'ultimo tuttavia, già a colpo d'occhio, non corrisponde al sito ufficiale del noto istituto bancario, rimanda infatti ad una pagina che non ha nulla a che vedere con il sito ufficiale di
ING Direct. Analizziamola di seguito nel dettaglio.
Come possiamo vedere dall' immagine riportata, la pagina web in cui si viene dirottati dal link presente nell'sms simula discretamente il sito ufficiale di
ING Direct e risulta impostata in modo ragionevolmente ingannevole per un utente inesperto, sia dal punto di vista grafico che testuale.
Per rassicurare l'utente sull'autenticità della pagina i cyber-criminali hanno avuto infatti l'accorgimento di inserire il logo autentico di
ING Direct e di impostare la pagina con la stessa grafica del sito ufficiale.
In prima battuta, cliccando su
Accedi viene richiesto l'inserimento delle credenziali per autoidentificarsi, in particolare il
Codice Cliente e il
Numero di telefono.
Con buona probabilità completando questo primo step identificativo cliccando poi su
Continua seguirà un'altra videata di richiesta dati sensibili. Ciò che è certo è che il vero obiettivo dei truffatori resta quello di rubare i codici di accesso all'home banking.
Sebbene lo stesso FORM di autenticazione sembri ben fatto, vi invitiamo a prestare attenzione, in particolare, all'indirizzo url della pagina di accesso alla gestione dell'account.
Questa è infatti ospitata su un indirizzo/dominio che non ha nulla a che fare con
ING Direct.
Inserendo i propri dati personali su questo FORM per effettuare l'accesso al conto corrente
ING Direct, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
In conclusione vi invitiamo sempre a diffidare da qualunque form che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati di accesso al proprio conto corrente bancario, i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
19 MAGGIO 2024 ==> Phishing LIDL
OGGETTO: <
Re: 'Hai vinto un KitchenAid' >
Di seguito analizziamo il seguente tentativo di truffa che si cela dietro ad una falsa comunicazione che sfrutta la nota azienda
LIDL.
Si tratta nello specifico di un messaggio promozionale che sembra proporre un'occasione imperdibile. Il fortunato utente è stato selezionato per partecipare ad un programa fedeltà attraverso un sondaggio che gli permetterà di vincere un premio, nello specifico
un nuovo di zecca KitchenAid...o per lo meno così sembrerebbe.
Sicuramente per molti utenti inesperti dietro questo phishing si cela un vero e proprio specchietto per le allodole.
Chiaramente
LIDL è estranea all'invio massivo di queste campagne malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
A scanso di equivoci si tratta infatti di un tentativo di phishing volto a carpire i vostri dati personali..
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.
Già analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di
LIDL <nw102534[at]stuwk[dot]com>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci. Se dovessimo tuttavia proseguire e cliccare sul link presente ecco cosa accadrebbe:
Veniamo dirottati su una pagina di ''atterraggio'' che, sebbene graficamente ben fatta (con immagini fuorvianti e il logo autentico di
LIDL) non sembra per nulla attendibile.
Il sondaggio per ottenere il premio è ospitato infatti su un indirizzo/dominio anomalo...
Si tratta della seguente pagina web:
"https[:]//hangardores[.]cfd/1105.....''
che non ha alcun legame con
LIDL.
I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che i regali si stanno per esaurire. In calce alla videata notiamo che è presente anche un timer countdown che tuttavia, qualora dovesse azzerarsi, come simulato, ripartirebbe da capo subito dopo..cosa alquanto strana.
Cliccando su
LO VOGLIO, si viene rimandati alle schermate successive, dove viene richiesto di rispondere a 8 domande.
Ecco nello specifico la domanda 1/8. Si tratta, di fatto, di domande tutte molto generiche incentrate sul grado di soddisfazione dei servizi offerti da LIDL e sulle abitudini quotidiane dei consumatori. Notiamo che anche qui è presente il timer countdown per indurre l'utente a concludere velocemente l'iter per l'ottenimento del premio.
Al termine del sondaggio possiamo finalmente richiedere il nostro premio: un KitchenAid Stand Mixer che avrebbe il valore di Euro 1101,61 ma che a noi costa 0..Dobbiamo pagare solo le spese di spedizione..che si presuppone siano esigue.
Ma affrettiamoci.. Sembra ne siano rimaste solo 2 in magazzino..
''Congratulazioni! Abbiamo riservato (1) KitchenAid Stand Mixer esclusivamente per te.''
Ci siamo: basterà infatti inserire il proprio indirizzo di spedizione e pagare le spese di spedizione e in 5-7 giorni lavorativi il premio verrà consegnato....
Per dare maggior credibilità sono stati riportati altresì numerosi commenti di clienti che sembrerebbero aver già partecipato al sondaggio. Sono tutte testimonianze/feedback rassicuranti sulla consegna effettiva della vincita e sul fatto che non si tratti realmente di una truffa.....
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!
A questo punto, cliccando su
Continua si viene rimandati su un'ulteriore pagina per l'inserimento del proprio indirizzo per la spedizione e il pagamento delle spese di spedizione.
La pagina che ospita il form di inserimento dati tuttavia è già già stata segnalata come pagina /SITO INGANNEVOLE.... L'intento dei cybercriminali è quello di indurre il malcapitato ad inserire i dati sensibili in quanto per procedere al pagamento delle spese di spedizione, seppur trattandosi di una modica cifra, è prevedibile che venga richiesto l'inserimento dei dati della carta di credito al fine di completare l'acquisto.
La pagina su cui si viene rimandati, per l'inserimento dei propri dati personali, è ospitata su un nuovo indirizzo/dominio anomalo
, che riportiamo di seguito:
https[:]//holdcXXp[.]com/?sxid.....
In conclusione vi invitiamo sempre a diffidare da messggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
14 Maggio 2024 ==> Phishing BRT
OGGETTO: <
Il tuo pacchetto Nr. US356791 con il seguente prodotto non puo essere consegnato >
Analizziamo di seguito un nuovo tentativo di phishing che si cela dietro una falsa comunicazione che sembra provenire dal noto corriere espresso
BRT.
Il messaggio, che riportiamo di lato
, fa riferimento nello specifico ad una spedizione in sospeso. Segnala infatti all'ignaro ricevente che non è stato possibile completare la consegna del pacco per assenza del destinatario.
Sembra necessario riconfermare l'indirizzo per sbloccare la spedizione cliccando su uno dei link presenti.
Il primo campanello d'allarme sull'autenticità dell'alert è la provenienza del messaggio. Non è infatti chiaro da chi giunge l'sms o, se non altro, l'indirizzo del mittente non sembra per nulla riconducibile al corriere
BRT a cui dovrebbe essere stata affidata la spedizione. D'altra parte, per trarre in inganno l'utente, è stato riportato, oltre ad un presunto numero d'ordine
''pacchetto Nr. US356791'' anche un
ID TRACCIAMENTO con un link che, di fatto dovrebbe permettere di verificare il tracking, ma in reltà non è così.
L'intento chiaramente è quello di portare l'utente a cliccare sui uno dei vari link presenti, in particolare:
CONTROLLA QUI
che rimanda ad una pagina web che ha, come sempre, l'obiettivo di indurre l'utente ad inserire dati sensibili.
Analizziamola di seguito nel dettaglio.
Dal link presente sull'sms veniamo dirottati su una pagina che dovrebbe simulare il sito ufficiale del corriere BRT. La pagina, graficamente poco elaborata fa riferimento a (1) messaggio in sospeso e invita a cliccare ulteriormente su Conferma. Notiamo inoltre che l'indirizzo url presente sulla barra del broswer è anomalo e non riconducibile a BRT.
Ad una prima videata dove viene riportato un preciso codice di rintracciamento di riferimento (29194772), cliccando su Pianifica la consegna segue una nuova videata dove ci vengono fornite informazioni sul pacco, in particolare lo stato. Contrariamente da quanto segnalato inizialmente nella mail sembra che il pacco sia in sospeso presso il centro di distribuzione per il mancato pagamento delle tasse doganali corrispondenti a Euro 1,95 e non per l'assenza del destinatario.. cosa quantomai sospetta. L'indirizzo url, sempre anomalo, resta invariato.. https://orchidcorp[.]world/801..
Proseguendo cliccando su Pianifica la consegna ora ci viene proposta una nuova videata che ci invita a scegliere la modalità per predisporre la nuova consegna seguita da una ulteriore in cui dobbiamo indicare in che giorni preferiamo il recapito.
Eccoci finalmente alla conclusione della procedura di riprogrammazione della spedizione che dovrebbe concludersi con la conferma dei dati.. Notiamo tuttavia che, affinchè avvenga la consegna, è necessario il pagamento delle spese di spedizione...
Ecco la sorpresa.
Dopo aver cliccato su
Inserisci le informazioni di consegna veniamo infatti dirottati su un FORM di inserimento dati che richiede, oltre a ''Nome'', ''Cognome'' ''Indirizzo'' ''Numero di telefono'' ''E-Mail'', i dati della propria carta di credito per procedere al pagamento di ben € 9,99 (non dovevano essere solo Euro 1,99?!) relativi alle spese di spedizione del pacco oggetto dell'alert.
Notiamo che la pagina su cui risiede il form è ospitata su un indirizzo url diverso da quello visto precedentemente ma che comunque non è assolutamente attendibile e non ha proprio nulla a che fare con BRT ne tanto meno con circuiti di pagamento noti.
Lo scopo di tutto è quello di indurre l'utente ad inserire i suoi dati personali.
Di lato mostriamo nel dettaglio la videata del form di compilazione.
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
09 Maggio 2024 ==> Phishing Istituto Bancario
OGGETTO: <
Importante: attivare il nuovo sistema di sicurezza >
Ritroviamo questo mese la campagna di phishing, che giunge attraverso un'e-mail che, sfruttando la grafica rubata, o simile, a quella di un noto Istituto Bancario nazionale
, cerca di spacciarsi per una comunicazione ufficiale, per indurre l'ignaro ricevente ad effettuare quanto richiesto e a cadere in questo tranello basato su tecniche di ingegneria sociale (social engeenering).
Il messaggio
segnala all'ignaro ricevente che a partire dal
12/05/2024 non sarà in grado di utilizzare la sua carta se non attiva il nuovo sistema di sicurezza web. Senza l'attivazione non potrà più utilizzare la sua carta, la procedura è semplice e richiede solo 3 minuti, attraverso il seguente link:
Clicca qui
Possiamo notare sin da subito che il messaggio di alert giunge da un indirizzo e-mail <
******(at)aggiornamento[-]del[-]conto(dot)net> quanto mai sospetto
e contiene un testo molto generico, anche se il cybercriminale ha avuto l'accortezza grafica di inserire il noto logo dell'istituto bancario che potrebbe trarre in inganno l'utente.
L'intento è quello di portare il malcapitato ad effettuare il login e rinnovare l'attivazione della sua app bancaria.
Chi dovesse malauguratamente cliccare sul link
Clicca qui verrà dirottato su una pagina WEB anomala, che non ha nulla a che vedere con il sito ufficiale del noto Istituto Bancario.
Dall'immagine riportata di lato possiamo notare che la pagina web è graficamente ben fatta e simula discretamente il sito ufficiale del portale bancario
.
Notiamo altresì la presenza di altri sotto menù come Persone e Famiglie, Giovani, Business, che identificano la tipologia di utente... tutto questo con l'obiettivo di rassicurare ulteriormente l'utente sulla veridicità del portale sebbene molti link presenti non portino ad alcuna delle pagine che ci si aspetterebbe.
Alla luce di queste considerazioni vi invitiamo a prestare molta attenzione ad ogni dettaglio fuorviante ricordando che come buona regola prima di procedere all'inserimento di dati sensibili, in questo caso le credenziali dell'home banking ovvero Codice Titolare e PIN, è fondamentale analizzare l'indirizzo ulr in cui è ospitato il form di autenticazione.
La pagina di atterraggio in questo caso è ospitata sull'indirizzo url:
https[:]//santoshowers[.]com/it/APP1[.]217[.]198[.]140[.]128-732b28224b4f7...
che non ha nulla a che fare con il sito ufficiale del noto istituto bancario.
Questa pagina /SITO INGANNEVOLE è gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
08 Maggio 2024 ==> Phishing Shein
OGGETTO: <
Hai*Vinto..Una ScaTola**Misteriosa di SHEIN >
Di seguito analizziamo il seguente tentativo di truffa che si cela dietro ad una falsa comunicazione che sfrutta la nota azienda
SHEIN.
Si tratta nello specifico di un messaggio promozionale che sembra proporre l'opportunità di vincere un premio. Il fortunato utente è stato selezionato per partecipare ad un sondaggio che gli permetterà di vincere nello specifico
la scatola misteriosa di Shein...o per lo meno così sembrerebbe.
Sicuramente per molti utenti inesperti dietro questo phishing si cela un vero e proprio specchietto per le allodole.
Chiaramente il noto sito di vendita online cinese
SHEIN è estraneo all'invio massivo di queste campagne malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
A scanso di equivoci si tratta infatti di un tentativo di phishing volto a carpire i vostri dati personali..
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.
Già analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di
SHEIN <AG5GRSYJU47WFN[at]rolinfo[dot]de>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci. Se dovessimo tuttavia proseguire e cliccare sul link
INIZIA IL SONDAGGIO ecco cosa accadrebbe:
Veniamo dirottati su una pagina di ''atterraggio'' che, sebbene graficamente ben fatta (con immagini fuorvianti e il logo autentico di
SHEIN) non sembra per nulla attendibile.
Il sondaggio per ottenere il premio è ospitato infatti su un indirizzo/dominio anomalo...
Si tratta della seguente pagina web:
"https[:]//vutida[.]opinionjet[dot]com/.......''
che non ha alcun legame con
SHEIN.
I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che l'offerta è in prossima scadenza. In calce alla videata notiamo che è presente anche un timer countdown che tuttavia, qualora dovesse azzerarsi, come simulato, ripartirebbe da capo subito dopo..cosa alquanto strana.
Cliccando su
INIZIA IL SONDAGGIO, si viene rimandati alle schermate successive, dove viene richiesto di rispondere a 8 domande.
Ecco nello specifico la domanda 1/8. Si tratta, di fatto, di domande tutte molto generiche incentrate sul grado di soddisfazione del sito di acquisti
SHEIN e sui prodotti venduti.
Notiamo che anche qui è presente il timer countdown per indurre l'utente a concludere velocemente l'iter per l'ottenimento del premio.
Al termine del sondaggio possiamo finalmente richiedere il nostro premio: La scatola misteriosa di Shein che avrebbe il valore di Euro 399,99 ma che a noi costa 0..Dobbiamo pagare solo le spese di spedizione..che si presuppone siano esigue.
Meglio affrettarci a concludere la procedura..
Per dare maggior credibilità sono stati riportati altresì numerosi commenti di clienti che sembrerebbero aver già partecipato al sondaggio. Sono tutte testimonianze/feedback rassicuranti sulla consegna effettiva della vincita e sul fatto che non si tratti realmente di una truffa....alcune documentate con tanto di foto del premio ricevuto.
Di certo se così tanti utenti sono stati fortunati perchè non provare a reclamare la consegna?!
Ci siamo: basterà infatti inserire il proprio indirizzo di spedizione e pagare le spese di spedizione e in 5-7 giorni lavorativi il premio verrà consegnato....
A questo punto si viene rimandati su un'ulteriore pagina, come da immagine in basso, per l'inserimento del proprio indirizzo per la spedizione e il pagamento delle spese di spedizione.
La pagina che ospita il form di inserimento dati sembra graficamente ben fatta e forviante. Peccato che per finalizzare il tutto sia necessario procedere al pagamento delle spese di spedizione che, seppur trattandosi di una modica cifra, prevedono presumibilmente l'inserimento dei dati della carta di credito al fine di completare l'acquisto.
Lo scopo dei cyber criminali infatti è proprio quello di indurre l'utente ad inserire i suoi dati sensibili e, in questo caso, quelli relativi alla carta di credito!
La pagina su cui si viene rimandati, per l'inserimento dei propri dati personali, è ospitata su un nuovo indirizzo/dominio anomalo
, che riportiamo di seguito:
https[:]//getmobilemarvelhub[dot]click/....
In conclusione vi invitiamo sempre a diffidare da messaggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
07 - 31 Maggio 2024 ==> Phishing Aruba - Rinnova il dominio
OGGETTO: <
Il tuo dominio sta per scadere, rinnova subito>
Continuano anche questo mese i tentativi di phishing che si spacciano per comunicazioni da parte del brand
Aruba.
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe, il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Il messaggio informa l'utente che il suo dominio ospitato su
Aruba scadrà a breve e che ha tre giorni di tempo per procedere al rinnovo.
In caso questo non avvenga, alla scadenza del 09/5/2024, tutti i servizi associati al dominio verranno sospesi, compresi il sito web che non sarà più visibile e la casella di posta elettronica che non sarà più funzionante. Questo blocco durerà fino al momento in cui il rinnovo non verrà effettuato.
Il breve lasso di tempo indicato nell'e-mail per poter rinnovare ha, certamente, lo scopo di mettere pressione all'utente, che spinto dal timore di ritrovarsi impossibilitato ad inviare e ricevere e-mail, si trova ad agire immediatamente, senza prestare la dovuta attenzione.
Si tratta, infatti, di un tentativo di phishing volto a carpire i dati personali degli ignari utenti.
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un po' di attenzione e colpo d'occhio.
Infatti analizzando l'e-mail, notiamo che il mittente del messaggio
<comunicazioni[-]aruba[at]adrocoaching[dot]it> chiaramente non è riconducibile al dominio ufficiale di
Aruba, fatto questo decisamente anomalo che dovrebbe quantomai insospettire.
L'utente, per procedere al rinnovo, viene invitato a cliccare sul seguente link
https[:]//managehosting[.]aruba[.]it/Rinnovi.....''
Chi dovesse malauguratamente cliccare verrà dirottato su una pagina di "atterraggio" che non ha nulla a che vedere con il dominio ufficiale di
Aruba, sebbene la grafica sia ben fatta.
In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password da cui potrà poi procedere al rinnovo del dominio ed evitare così di incorrere nel blocco dei servizi ad esso collegati.
Sebbene la fretta e il timore di ritrovarsi con la casella e-mail sospesa possano spingere a concludere velocemente l'operazione, l'invito, come sempre, è quello di prestare la massima attenzione ad ogni dettaglio.
Procedendo all'inserimento dei dati in siti web contraffatti
, infatti, questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per scopi criminali.
03 Maggio 2024 ==> iCloud
OGGETTO: <
Avviso finale: le tue foto e i tuoi video verranno eliminati, agisci! >
Di seguito analizziamo il tentativo di truffa che si cela dietro ad una falsa comunicazione che sfrutta
iCloud, servizio fornito da Apple che permette di conservare foto, video e documenti. Si tratta, nello specifico, di un messaggio che avverte gli utenti che il loro documenti saranno presto eliminati.
Chiaramente
iCloud è estranea all'invio di queste campagne malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Si tratta, infatti, di un tentativo di phishing volto a carpire i dati personali degli ignari utenti.
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un po' di attenzione e colpo d'occhio.
Già analizzando l'e-mail notiamo che il mittente del messaggio
è <elpais[at]newsletter[dot]elpais[dot]com> e invita a rispondere a
<boletines[at]elpais[dot]es> entrambi gli indirizzi e-mail indicati non sono riconducibili al dominio ufficiale di
iCloud, fatto questo, decisamente anomalo che dovrebbe quantomai insospettirci.
Tuttavia, se dovessimo cliccare su
clicca qui verremo dirottati su una pagina di ''atterraggio'' che, sebbene graficamente ben fatta, non sembra per nulla attendibile. Notiamo infatti che è ospitata su un indirizzo/dominio anomalo che non ha nulla a che fare col dominio ufficiale di
iCloud.
Si tratta della seguente pagina web:
"https[:]/guitarrunner[.]online/33.....''
Come vediamo nell'immagine in basso, in questa pagina un banner avverte l'utente che il suo spazio di archiviazione su
iCloud è pieno, e che se non interverrà al più presto, foto e video e il suo stesso account iCloud Drive
non si aggiorneranno più e i documenti fino a quel momento salvati saranno eliminati. L'utente viene quindi invitato a proseguire al fine di scongiurare la perdita di tutti i dati.
Cliccando su
Continua si aprirà una pagina che indicherà il modo per evitare che foto, video e documenti vadano persi per sempre.
Grazie ad un programma fedeltà, infatti, per avere altri 50 GB di spazio di archiviazione sarà sufficiente pagare 1,95$. Per poter aderire a questa offerta speciale bisognerà rispondere a 3 semplici domande, generiche, ma che forniscono ai cyber-truffatori indicazioni sull'utente, come ad esempio il Paese di provenienza.
Una volta risposto a tutte le domande, finalmente sarà possibile richiedere lo spazio di archiviazione in più che ci permetterà di salvare tutti i dati finora archiviati.
Ci siamo: cliccando su
Continua, si verrà rimandati all'ultima schermata dove viene richiesto di inserire i nostri dati personali e di procedere al pagamento di 1,95$ dollari per ottenere i 50 Gb di spazio di archiviazione aggiuntivi.
Lo scopo dei cyber criminali infatti è proprio quello di indurre l'utente ad inserire i suoi dati sensibili!
La pagina su cui si viene rimandati, per l'inserimento dei propri dati personali, è ospitata sul seguente indirizzo/dominio anomalo
, che riportiamo di seguito:
https[:]//gryoulucky[.]com/it/....
In conclusione vi invitiamo sempre a prestare attenzione, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
02 Maggio 2024 ==> Phishing Aruba - Dominio in scadenza
OGGETTO: <
Dominio **** in scadenza, perchè rinnovare?>
Continuano anche questo mese i tentativi di phishing che si spacciano per comunicazioni da parte del brand
Aruba.
Il messaggio informa il ricevente che il suo dominio ospitato su
Aruba collegato al suo account di posta elettronica scadrà il giorno
03/05/2024. Lo informa quindi che per non perdere il suo dominio ed evitare la cancellazione dell'account e quindi la disattivazione di tutti servizi a questo associati, comprese le caselle di posta elettronica, sarà sufficiente procedere al rinnovo. Viene segnalata poi l'opportunità di attivare il rinnovo automatico dei servizi per non avere più preoccupazioni.
Invita quindi l'utente ad accedere alla sua area personale inserendo login e password e ad effettuare il pagamento, attraverso il seguente link:
RINNOVA ORA CON UN CLICK
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Per indurre il malcapitato a procedere tempestivamente al rinnovo della propria casella postale viene indicata la scadenza del 03/05/2024. La tecnica di indicare un termine entro il quale poter concludere la procedura ha, senza dubbio, lo scopo di intimare l'utente, spinto dal timore di ritrovarsi con la sua casella e-mail disattivata, ad agire immediatamente e senza pensarci troppo.
Chi dovesse malauguratamente cliccare sul link
RINNOVA ORA CON UN CLICK verrà dirottato su una pagina che non ha nulla a che vedere con il sito ufficiale ma che è già stata segnalata come pagina /SITO INGANNEVOLE....
Sebbene la fretta e il timore di ritrovarsi con la casella email sospesa possano spingere l'utente a concludere velocemente l'operazione Vi invitiamo sempre a prestare la massima attenzione ad ogni dettaglio, anche banale.
Procedendo all'inserimento dei dati in siti web contraffatti
, questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per scopi criminali.
02 Maggio 2024 ==> Phishing PosteItaliane
OGGETTO: <
IMPORTANTE!>
Ritroviamo questo mese il tentativo di phishing che si cela dietro a una falsa comunicazione giunta apparentemente dal servizio di
PosteItaliane, relativamente alla consegna di un presunto pacco.
Il messaggio, che riportiamo di lato
, fa riferimento ad una spedizione di cui viene notificata la consegna, ma che a causa delle spese di spedizione non pagate non può essere consegnato. Segnala quindi all'ignaro ricevente che per ricevere il pacco deve pagare le spese di spedizione di € 2, cliccando sul seguente pulsante:
https[:]//pоstе[.]it/spedizione/RA20100253652IT
Il messaggio sembrerebbe provenire da
PosteItaliane, notiamo tuttavia che non viene riportato alcun dato identificativo sulla spedizione, come per esempio il numero d'ordine o il riferimento per il tracciamento. Notiamo oltrettutto che il messaggio di alert giunge da un indirizzo e-mail che non proviene chiaramente dal dominio ufficiale di
PosteItaliane <support(at)ddosed(dot)be>.L'intento chiaramente è quello di portare l'utente a cliccare sul link proposto, che rimanda ad una pagina web che ha, come sempre, l'obiettivo di indurre l'utente ad inserire dati sensibili.
Dal link presente nel messaggio veniamo dirottati su una pagina web che dovrebbe simulare il sito ufficiale di
PosteItaliane. Sebbene il sito possa trarre in inganno in quanto è stato inserito il noto logo di PosteItaliane e viene anche indicato anche il numero di spedizione del presunto pacco in giacenza <RA20100253652IT>, notiamo che l'indirizzo url presente sulla barra del broswer è anomalo e non riconducibile a
PosteItaliane:
<<https[:]//ylw[.]jru[.]mybluehost[.]me/pacchetto/it/9655>>
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...
Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
03/04/2024 10:23 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di aprile 2024...
04/03/2024 10:42 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2024..
06/02/2024 08:55
- Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2024...
02/01/2024 16:04 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2024...
11/12/2023 09:39 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2023...
03/11/2023 08:58 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2023...
03/10/2023 16:35 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2023...
05/09/2023 10:35 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2023...
01/08/2023 17:33 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2023...
03/07/2023 10:23 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2023...
07/06/2023 15:57 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di giugno 2023...
03/05/2023 17:59 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di maggio 2023...
Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.
Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- completamente interoperabile con altri software AntiVirus e/o prodotti per l'Internet Security (sia gratuiti che commerciali) già installati sul proprio computer, senza doverli disinstallare e senza provocare rallentamenti, poichè sono state opportunamente ridotte alcune funzionalità per garantirne l'interoperabilità con il software AntiVirus già presente sul PC/Server. Questo però permette il controllo incrociato mediante la scansione.
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM
VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
TG Soft rende disponibile gratuitamente VirIT Mobile Security accedendo al market di Google Play Store (https://play.google.com/store/apps/details?id=it.tgsoft.virit) dal quale è possibile prelevare la versione Lite, liberamente utilizzabile sia in ambito privato che aziendale.
E’ possibile eseguire il passaggio alla versione PRO, acquistandolo direttamente dal nostro sito=> clicca qui per ordinare
Ringraziamenti
Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.
Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
- qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
- salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti. Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Per maggiori approfondimenti su come inoltrare in sicurezza e-mail sospette vi invitiamo a consultare la seguente pagina pubblica:
Come inviare e-mail sospette per l'analisi
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
C.R.A.M. Centro Ricerche Anti-Malware di
TG Soft
