INDICE dei PHISHING

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di MARZO 2026:

23/03/2026 => OneDrive
18/03/2026 => SumUp
17/03/2026 => Istituto Bancario
17/03/2026 => Aruba
15/03/2026 => DPD
14/03/2026 => Credit Agricole
11/03/2026 => Aruba - Azione necessaria
09/03/2026 => Telepass Sondaggio
08/03/2026 => Aruba - Rinnova il dominio
04/03/2026 => Banco BPM
03/03/2026 => Webmail

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

• Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

• Prova Vir.IT eXplorer Lite
  

• Ringraziamenti

• Come inviare e-mail sospette per l'analisi

23 Marzo 2026 ==> Phishing OneDrive

OGGETTO: < RICHIESTA ROTTAMAZIONE >

Analizziamo di seguito il tentativo di phishing che ha l'obiettivo di rubare le credenziali dell'account di OneDrive. 
  Il messaggio, con oggetto "RICHIESTA DI ROTTAMAZIONE" informa il destinatario che ha ricevuto una cartella contenente 23 elementi su OneDrive e che sembra provenire da una società VEMOCAR SRL, per rendere il messaggio più attendibile in calce alla mail viene riportata la firma del presunto direttore commerciale della società "Fabio Buzzetti". Il destinatario viene quindi invitato a visualizzare il documento allegato scaricandolo attraverso il seguente link:

VISUALIZZA IL DOCUMENTO ALLEGATO 

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email ingannevole poichè sembrerebbe provenire apparentemente dal dominio della società che invierebbe di fatto l'allegato, ma possiamo notare che viene riportato anche un altro indirizzo che non ha nulla a che vedere con il dominio ufficiale di OneDrive < t2[at]tsxczscl[dot]com>. Tuttavia se dovessimo procedere nel tentativo di aprire l'allegato noteremmo alcuni campanelli d'allarme.

Cliccando sul link infatti si verrà dirottati su una pagina web, che invita nuovamente l'utente a scaricare il docuemnto che sembrerebbe provenire proprio da VEMOCAR SRL.
Procedendo si viene dirottati su un altra pgina web che, come vediamo dall'immagine di lato, richiede l'accesso al proprio account Microsoft per scaricare i file ricevuti.

La realtà dei fatti è che la pagina su cui si viene dirottati per l'inserimento delle proprie credenziali di Microsoft è ospitata su un indirizzo/dominio anomalo:

 https[:]//[NomeDominioFake*]

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

18 Marzo 2026 ==> Phishing SumUp

OGGETTO: <Promemoria Finale Importante:>

Analizziamo di seguito un nuovo tentativo di phishing che si spaccia per quella che sembrerebbe una comunicazione ufficiale da parte di SumUp, nota società londinese per i pagamenti digitali.

Il messaggio, che riguarda la sicurezza dell’account dell’utente, lo informa che “l’aggiornamento del Suo account non è ancora stato completato.
Per garantire un accesso continuo ai nostri servizi, è necessario completare la procedura richiesta il prima possibile."
Lo informa quidni che l'aggiornamento deve essere fatto entro 24 ore, attraverso il seguente Link:

Aggiorna subito il tuo account

Chiaramente la nota società londinese, è estranea all'invio massivo di queste e-mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare i dati sensibili dell'ignaro ricevente.

Analizzando attentamente il messaggio ci sono alcuni indizi che dovrebbero insospettire. Notiamo subito come l’indirizzo e-mail da cui proviene il messaggio non sia riconducibile al dominio ufficiale di SumUp < 3006356800101[at]ingenieria[dot]usac[dot]edi[dot]gt>. Questo fatto è decisamente anomalo e dovrebbe quantomai insospettirci. Un altro fatto strano è che l’e-mail non fornisca alcun dato identificativo del cliente e richieda di inserire le credenziali dell'account tramite un link comunicato via mail. 


Chi dovesse malauguratamente cliccare sul link Aggiorna subito il tuo account verrà dirottato su una pagina WEB che, sebbene simuli graficamente la pagina di accesso all’account di SumUp, in quanto il cybercriminale ha avuto l’accortezza grafica di inserire il logo della nota azienda, notiamo che l’indirizzo/dominio è anomalo:

 https[:]//[NomeDominioFake*]

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password della sua e-mail da cui potrà poi procedere all'aggiornamento richiesto.

Vi invitiamo, quindi, a far sempre la massima attenzione anche ai più piccoli dettagli e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto verranno utilizzati da cyber-truffatori per scopi illeciti.

17 Marzo 2026 ==> Phishing Istituto Bancario

OGGETTO: <Sicurezza rafforzata: Completa la registrazione MyKey>

Il messaggio che, sfruttando una grafica rubata, o simile, a quella di un noto Istituto Bancario nazionale, cerca di spacciarsi per una comunicazione ufficiale per indurre il destinatario ad effettuare quanto richiesto e a cadere in questo tranello basato su tecniche di ingegneria sociale (social engeenering).

Il messaggio segnala all'ignaro ricevente che "a partire dal 19/03/2026, la sua carta sarà soggetta a restrizioni operative che impediranno l’esecuzione di pagamenti online.  Per evitare la sospensione dei servizi e garantire la piena funzionalità della Sua carta, è obbligatorio completare immediatamente la registrazione al servizio di sicurezza MyKey. "
Per procedere all’aggiornamento è sufficiente cliccare sul link:

COMPLETA ORA LA REGISTRAZIONE MYKEY

Possiamo notare sin da subito che il messaggio di alert giunge da un indirizzo e-mail <eraa(at)inveniosolutions(dot)it> quanto mai sospetto e contiene un testo molto generico, nonostante il cybercriminale abbia avuto l'accortezza grafica, per trarre in inganno l’utente, di inserire il logo dell'istituto bancario. L'intento è quello di portare il malcapitato ad effettuare il login della sua app bancaria così da poterne rubare i dati.
Chi dovesse malauguratamente cliccare sul link COMPLETA ORA LA REGISTRAZIONE MYKEY verrà dirottato su una pagina WEB anomala,c he è già stata segnalata come pagina /SITO INGANNEVOLE.

Alla luce di queste considerazioni vi invitiamo a prestare molta attenzione ad ogni dettaglio ricordando che prima di procedere all'inserimento di dati sensibili, è fondamentale analizzare ogni dettaglio.

Questa pagina /SITO INGANNEVOLE è gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare per i loro scopi. 

17 Marzo 2026 ==> Phishing Aruba - Azione necessaria per la gestione dello spazio

OGGETTO: <Avviso di scadenza della password – Azione richiesta>

Ecco l'ennesimo tentativo di phishing che si spaccia per una comunicazione da parte del brand Aruba

II messaggio informa il ricevente che la password della casella di posta elettronica ospitata su Aruba  è in scadenza. Lo avverte quindi che per manternere la stessa passowrd ed evitare interruzioni del servizio, blocco delle mail in arrivo o perdita del dominio, deve procedere sin da subito a confermare la password attraverso il seguente link:

Mantieni la stessa password

Prestiamo sempre attenzione a richieste di inserimento delle credenziali personali, tramite link sospetti comunicati via mail.
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Notiamo subito come l’indirizzo email da cui proviene non è riconducibile al dominio ufficiale di Aruba <othantrifsi1983[at]gmx[dot]de>. Questo fatto è decisamente anomalo e dovrebbe quantomai insospettirci.   

Chi dovesse malauguratamente cliccare sui link verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di Aruba, notiamo che l’indirizzo/dominio è anomalo:

https[:]//[NomeDominioFake/amazonaws[.]com/index4[.]html#***]

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo la password della sua e-mail da cui potrà poi procedere all'aggiornamento dei suoi dati.

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale, e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per scopi criminali. Ricordiamo che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione anche al più piccolo dettaglio.

15 Marzo 2026 ==> Phishing DPD (BRT)

«OGGETTO: < Aggiornamento sulla tua spedizione internazionale >

Di seguito un nuovo tentativo di phishing, che si cela dietro a una falsa comunicazione giunta apparentemente da DPD, il gruppo tedesco leader in Europa nel campo delle spedizioni, che in Italia sono gestite tramite il corriere nazionale Bartolini. 

II messaggio segnala all'ignaro ricevente che la sua spedizione è in attesa a causa di dazi di importazione in sospeso.Infafti in conformità con le attuali normative di importazione dell'UE per i paesi terzi, è stata applicata una piccola tassa di sdoganamento e di elaborazione, gli comunica quindi che per ricevere il suo pacco deve confermare il pagamento anticipato delle spese doganali di € 2,75.
Questi messaggi, oggigiorno ancora più attuali, vengono sempre più utilizzati per perpetrare la truffa ai danni dei consumatori che utlizzano sempre più l'e-commerce per i propri acquisti.
Viene indicato anche un numero di spedizione <riferimento D-40150529884>. Per proseguire con la spedizione si deve cliccare sul seguente link:

Sblocca ora la consegna 

14 Marzo 2025 ==> Phishing Crédit Agricole

OGGETTO: < Aggiornamento importante 3/14/2026 8:48:34 AM >
 
Di seguito analizziamo il seguente tentativo di phishing che giunge da una falsa comunicazione da parte di Crédit Agricole, il noto istituto bancario francese.

II messaggio informa il ricevente che a seguito di un aggiornamento di sistema è necessario confermare i dati per evitare restrizioni di accesso.
Invita quindi l'utente a effettuare il login per aggiornare i dati, attraverso il seguente link:

Aggiorna il tuo account

Analizzando il testo del messaggio notiamo sin da subito che il messaggio di alert giunge da un indirizzo e-mail che non proviene chiaramente dal dominio ufficiale di Crédit Agricole, <auth0-selt[at]betinsightik[dot]com>, prestiamo sempre la massima attenzione prima di cliccare su link sospetti.

11 Marzo 2026 ==> Phishing Aruba - Azione necessaria per la gestione dello spazio

OGGETTO: <[dominio] Azione necessaria per la gestione dello spazio>

Ecco un nuovo tentativo di phishing che si spaccia per una comunicazione da parte del brand Aruba. Questa volta iI messaggio informa il ricevente che il alcune email in arrivo sono in attesa a causa della casella elettronica che si sta avvicinando al limite di archiviazione. Sembrerebbe quindi necessario procede a liberare lo spazio cliccando su uno dei seguenti link:

Rilascia le Email in Attesa
Gestizi Archiviazione

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando attentamente il messaggio ci sono alcuni indizi che dovrebbero insospettire. Notiamo subito che l’indirizzo e-mail da cui proviene il messaggio non è riconducibile al dominio ufficiale di Aruba <534963156606739[at]nycent[dot]com>, fatto questo decisamente anomalo, che dovrebbe insospettirci... 

Chi dovesse malauguratamente cliccare sui link verrà dirottato su una pagina WEB che, sebbene simuli graficamente la pagina di accesso all’account di Aruba, in quanto il cybercriminale ha avuto l’accortezza grafica di inserire il logo della nota azienda, notiamo che l’indirizzo/dominio è anomalo:

 https[:]//[NomeDominioFake*]

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password della sua e-mail da cui potrà poi procedere all'aggiornamento dei suoi dati anagrafici per poter riattivare i servizi.

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale, e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per scopi criminali. Ricordiamo che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione anche la più piccolo dettaglio.

9 Marzo 2026 ==> Phishing sondaggio clienti: TELEPASS

Ritroviamo questo mese le campagne di phishing a tema sondaggio clienti che sfruttano il marchio di note aziende.

Nell'esempio riportato a lato il cybercriminale ha utilizzato il noto marchio TELEPASS, che sembra lanciare un messaggio promozionale che permetterebbe di vincere un premio esclusivo un <Kit di emergenza per auto>. Per richiedere il premio, basta rispondere ad alcune brevi domande.

Chiaramente i marchi sfruttati in queste campagne sono estranee all'invio massivo di queste e-mail malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Nell'esempio riportato notiamo che la mail proviene chiaramente da un indirizzo estraneo al dominio ufficiale di TELEPASS<noreply[at]bk2021w[dot]firebaseapp[dot]com>. Questo è decisamente anomalo e dovrebbe senz'altro insospettirci.

Cliccando sui link presenti nella mail, si viene dirottati su una pagina di ''atterraggio'' che, può sembrare graficamente ingannevole (con immagini fuorvianti e il logo autentico del marchio), ma prestando più attenzione in queste campagne la pagina di atterraggio è sempre ospitata su un indirizzo/dominio anomalo che non sembra per nulla attendibile o riconducibile al marchio sfruttato.

I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi, come ad esempio riportare le false testimonianze di clienti che hanno vinto il premio in questione, cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che l'offerta scade in giornata.
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!

Al termine del sondaggio si viene solitamente reindirizzati su una pagina per l'inserimento dell’indirizzo di spedizione e il contestuale pagamento delle spese di spedizione.

In conclusione vi invitiamo sempre a diffidare da messaggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

08 Marzo 2026 ==> Phishing Aruba - Rinnova il dominio

OGGETTO: <Problema di fatturazione>

Continuano anche questo mese i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

II messaggio informa il ricevente che il suo dominio ospitato su Aruba  è in scadenza. Lo avverte quindi che per evitare interruzioni del servizio, blocco delle mail in arrivo o perdita del dominio, deve procedere sin da subito al rinnovo di quest'ultimo attraverso il seguente link:

Rinnova il Dominio

Prestiamo sempre attenzione a richieste di inserimento delle credenziali personali, tramite link sospetti comunicati via mail.
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Notiamo subito come l’indirizzo email da cui proviene non è riconducibile al dominio ufficiale di Aruba <noreply[at]nordisssa[dot]firebaseapp[dot]com>. Questo fatto è decisamente anomalo e dovrebbe quantomai insospettirci.    Chi dovesse malauguratamente cliccare sul link RINNOVA IL DOMINIO verrà dirottato su una pagina WEB che, sebbene simuli graficamente la pagina di accesso all’account di Aruba, in quanto il cybercriminale ha avuto l’accortezza grafica di inserire il logo della nota azienda, notiamo che l’indirizzo/dominio è anomalo:

 https[:]//[NomeDominioFake*]

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password della sua e-mail da cui potrà poi procedere al rinnovo del suo account pagando la somma richiesta. Ovviamente vi invitiamo a non inserire i dati della vostra carta di credito.

Lo scopo dei cyber-criminali ideatori della truffa è infatti chiaramente impossessarsi di essi. Prestate quindi sempre la massima attenzione, e verificate le scadenze dei servizi attivi solo attraverso le pagine ufficiali e non tramite link sospetti.

04 Marzo 2026 ==> Phishing Banco BPM

«OGGETTO: <Conferma le tue informazioni>

Di seguito analizziamo la seguente campagna di phishing, che giunge attraverso un'e-mail che, sfruttando la grafica rubata, o simile, a quella di un noto Istituto Bancario nazionale, in questo caso BANCO BPM, cerca di spacciarsi per una comunicazione ufficiale, per indurre l'ignaro ricevente ad effettuare quanto richiesto e a cadere in questo tranello basato su tecniche di ingegneria sociale (social engeenering).

03 Marzo 2026 ==> Phishing Webmail

OGGETTO: <RFQ – Chemicals and Other Items>

Analizziamo di seguito il tentativo di phishing che ha l'obiettivo di rubare le credenziali dell'account di Posta Elettronica del malcapitato.

Il messaggio, in lingua inglese, sembra essere un arichiesta di preventivo "per prodotti chimici e altri articoli" come da richiesta inviata, chiedendo di riportare nell'offerta i seguenti dati:

Prezzo unitario (con valuta)
Tempi di consegna
Termini di pagamento
Validità del preventivo
Specifiche tecniche (se applicabili)

La richiesta sembra provenire dalla "Masda Chemical Pte Ltd" di cui vengono riportati i riferimenti in calce. 
Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che sembrerebbe provenire dal dominio di posta elettronica di Masda Chemical Pte Ltd, ma notimao che non è quello ufficiale <enquiry(at)masdachem(dot)com(dot)sg>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sull'immagine riportata nella mail che dietro nasconde un link malevolo, verrà dirottato su una pagina WEB anomala, che dovrebbe simulare la pagina di accesso all'account di Posta Elettronica.

In questa pagina l'utente viene invitato ad accedere al suo account inserendo, in particolare, la password della sua casella elettronica da cui poi dovrebbe riuscire a vedere la richiesta di preventivo inviata...

La realtà dei fatti è che la pagina su cui si viene dirottati, è ospitata su un indirizzo/dominio anomalo:

https[:]//[NomeDominioFake*]

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.