Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di marzo 2017. Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

INDICE dei PHISHING 29/03/2017 ==> LOTTOMATICARD 20/03/2017 ==> Apple 18/03/2017 ==> WIND 16/03/2017 ==> Apple 14/03/2017 ==> Apple 08/03/2017 ==> PostePay 08/03/2017 ==> Apple 02/03/2017 ==> COOP Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi... Ringraziamenti Come inviare e-mail sospette per l'analisi

29 marzo 2017 ==> Phishing LOTTOMATICARD

«OGGETTO: <La sua password e scaduta - (caratteri alfanumerici)>

Questo phishing giunge sotto forma di una falsa comunicazione da parte di LOTTOMATICARD.

Il messaggio di alert ha come obiettivo quello di ingannare i titolari di carte prepagate LOTTOMATICARD al fine di acquisire i loro codici di accesso all'Home Banking.
L'email contraffatta avverte l'utente che la password della sua LOTTOMATICARD è scaduta e che è necessario reimpostarla prima che la carta venga disattivata.

Analizzando il corpo del messaggio, nonostante la presenta del logo verosimile di LOTTOMATICARD che potrebbe forviare l'utente meno attento, si può facilmente notare l'uso scorretto della lingua italiana con la presenza di errori ortografici e grammaticali che dovrebbero essere un chiaro segnale dell'inattendibilità dell'alert.

Inoltre il messaggio, proveniente da un indirizzo email estraneo al dominio di LOTTOMATICARD contiene un testo molto generico. Non vi è infatti alcun riferimento sull'intestatario della carta LOTTOMATICARD, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

L'intento dei cyber-truffatori è quello di indurre l'ignaro destinatario a cliccare sul link

''==>Procedi per cambiare la password ...''

che rimanda ad una pagina che non ha nulla a che vedere con il sito WEB di LOTTOMATICARD.

Dall'immagine qui sotto possiamo notare che il link indirizza su un form di autenticazione molto simile a quello di LOTTOMATICARD in cui vengono richiesti dati sensibili quali codice internet, PIN e data di nascita. Tuttavia l'indirizzo URL riportato sulla barra del broswer non è ospitato sul dominio reale di LOTTOMATICARD.

Per ingannare ulteriormente il malcapitato destinatario i cyber-criminali hanno avuto l'accorgimento di inserire l'ulteriore link ''Richiedili ora'' che dovrebbe presumibilmente recapitare all'utente i codici internet non ancora ricevuti al titolare dellla LOTTOMATICARD ma che, ovviamente, rimanda ad un'altra pagina malevole come da immagine sottostante.

Lo scopo è sempre quello di persuadere l'utente ad inserire i codici relativi alla sua LOTTOMATICARD che, se introdotti sul form, saranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale.

20 marzo 2017 ==> Phishing Apple

«OGGETTO: <Il tuo ID Apple.>

Ancora una volta siamo in presenza di un tentativo di phishing giunge da una finta email da parte di Apple.

Questa volta il messaggio, che presenta un nuovo layout, sembrerebbe segnalare all'ignaro ricevente che il suo account Apple ID è stato bloccato poichè sono stati riscontrati numerosi tentativi di accesso e che è necessario confermare i dati.
Lo scopo è quello di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.

Il messaggio di alert giunge da un indirizzo email <appleid_(at)italia(dot)apple(dot)com> che non appartiene al dominio ufficiale di Apple. Inoltre i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.

L'intento è quello di portare il ricevente a cliccare sul link

Clicca qui
che, fortunatamente, dirotta su una pagina internet che è già stata segnalata come pagina /SITO INGANNEVOLE in quanto il suo dominio non aveva nulla a che fare con Apple essendo ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

18 marzo 2017 ==> Phishing WIND

«OGGETTO: <8 GIGA per una settimana!!>

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte della nota compagnia telefonica WIND.

Il messaggio annuncia al destinatario che, in occasione della Festa del Papà, se effettua una ricarica telefonica online entro la giornata gli saranno riconosciuti 200 minuti verso tutti, sms illimitati e 8 GIGA. Chiaramente si tratta di una truffa volta ad ammaliare l'ignaro destinatario. In poche parole, un vero e proprio specchietto per le allodole.

Ad un primo impatto visivo il messaggio potrebbe essere forviante, tuttavia il messaggio giunge da un indirizzo email anomalo, il cui dominio non sembra assolutamente riconducibile a quello di WIND.
L'obiettivo dei cyber-criminali ideatori della truffa resta chiaramente quello di rubare i codici della carta di credito del ricevente.

L'intento dei cyber-truffatori è quello di indurre l'ignaro destinatario a cliccare sul link

''Ricarica adesso''

che rimanda ad una pagina WEB malevole che non ha nulla a che vedere con il sito WEB di WIND.

Nonostante la Tab del broswer abbia come titolo ''WIND.it - Ricarica online'', il form di autenticazione che induce l'utente ad inserire i codici di accesso al suo conto corrente online, seppur molto simile a quello reale, non è ospitato sul dominio di WIND.
In conclusione vi invitiamo sempre a diffidare da qualunque email che, offrendo ''bonus'' o ''premi'', preveda l'inserimento di dati riservati come i codici della propria carta di credito invitandovi a cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

16 marzo 2017 ==> Phishing Apple

«OGGETTO: <Conto bloccato, e dispositivi ad esso collegati>


Ancora una volta siamo in presenza di un tentativo di phishing giunge da una finta email da parte di Apple.

Questa volta il messaggio sembrerebbe segnalare all'ignaro ricevente che il suo account Apple ID è stato bloccato e che è necessario accedere per verificare i dati mancanti.
Lo scopo è quello di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.

Il messaggio di alert giunge da un indirizzo email <appleid_itit(at)mail(dot)apple(dot)com> che non appartiene al dominio ufficiale di Apple. Inoltre i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.

L'intento è quello di portare il ricevente a cliccare sul link

Il mio ID Apple
che, ci preme precisarlo, rimandano tutti ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un  utente inesperto.

La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo / dominio che nulla ha a che fare con Apple... Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:

Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

14 marzo 2017 ==> Phishing Apple

«OGGETTO: <Le informazioni del tuo ID-Apple sono state aggiornate>


Questo tentativo di phishing giunge da una finta email da parte di Apple.

Il messaggio sembrerebbe segnalare all'ignaro ricevente che qualcuno ha tentato di accedere al suo account Apple ID e che, per implementare la sicurezza di quest'ultimo sia necessario modificare i dati.
Lo scopo è quello di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.

Il messaggio di alert giunge da un indirizzo email <appleid_itit(at)mail(dot)apple(dot)com> che non appartiene al dominio ufficiale di Apple. Inoltre i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.

L'intento è quello di portare il ricevente a cliccare sul link

Il mio ID Apple
che, ci preme precisarlo, rimandano tutti ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un  utente inesperto.

La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo / dominio che nulla ha a che fare con Apple... Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:

Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

08 marzo 2017 ==> Phishing PostePay

«OGGETTO: <Confermare      dati>

Il seguente tentativo di phishing proviene da una falsa comunicazione di PostePay.

Il malcapitato ricevente viene invitato a confermare le informazioni fornite durante la sottoscrizione dei servizi PostePay cliccando sul link CLICCA - QUI.

A colpo d'occhio possiamo facilmente notare che il messaggio giunge da un indirizzo email anomalo, che non sembra aver alcun legame con Poste Italiane, appartenendo ad un dominio estraneo, seppur ingannevole. Inoltre il messaggio contiene un testo generico, non facendo alcun riferimento all'intestatario del conto corrente oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Sul fondo della mail, proprio a voler rassicurare l'utente sulla genuinità del messaggio sono stati riportati dei FALSI dati identificativi di Poste Italiane:
_______________________________________________
PostePay S.p.A. (c) 2017 | Partita Iva 043461726

Fortunatamente il link riportato in calce

CLICCA - QUI

dirotta su una pagina internet che è già stata segnalata come pagina /SITO INGANNEVOLE in quanto il suo dominio non aveva nulla a che fare con POSTE ITALIANE essendo ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

8 marzo 2017 ==> Phishing Apple

«OGGETTO: <Le informazioni del tuo ID-Apple sono state aggiornate>


Questo tentativo di phishing giunge da una finta email da parte di Apple.

Il messaggio sembrerebbe segnalare all'ignaro ricevente che qualcuno ha tentato di accedere al suo account Apple ID e che, per implementare la sicurezza di quest'ultimo sia necessario modificare i dati.
Lo scopo è quello di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.

Il messaggio di alert giunge da un indirizzo email <appleid_itit(at)mail(dot)apple(dot)com> che non appartiene al dominio ufficiale di Apple. Inoltre i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.

L'intento è quello di portare il ricevente a cliccare sul link

Il mio ID Apple
che, ci preme precisarlo, rimandano tutti ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un  utente inesperto.

La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo / dominio che nulla ha a che fare con Apple... Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:

Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

 

2 marzo 2017 ==> Phishing COOP

«OGGETTO: <COOP ti premia per la fedeltà con un buono spesa>


Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di COOP.

II messaggio vuol far credere al ricevente che è stato selezionato per partecipare all'estrazione di un buono spesa COOP del valore di 500 €. Per provare a vincere è neccessario cliccare su uno dei link riportati nel messaggio.
Chiaramente la catena di ipermercati COOP è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Ad una prima analisi possiamo notare che il messaggio proviene da una certa Serena del Servizio Clienti il cui indirizzo email però non ha alcun legame con il sito ufficiale di COOP senza contare che non è presente alcun riferimento identificativo che possa ricondurci all'azienda COOP, quali sede legale, partita IVA o eventuali recapiti telefonici.

L'ignaro destinatario che, malauguratamente, dovesse premere sui link

''Approfittane cliccando subito!''

come anche sul link

''Clicca qui e segui l'estrazione live sul nostro sito!''

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di COOP.

La tab del broswer con titolo ''Notizia eccezionale!'' inviterà il consumatore, o presunto tale, a ''girare la ruota'' per tentare la vincita del buono spesa di 500€ e verrà successivamente indirizzato su un'altra pagina con l'obiettivo di indurlo ad inserire dati sensibili.

Come mostrato nell'immagine sotto per poter partecipare all'estrazione è necessario compilare un FORM di autenticazione che ha un indirizzo url anomalo; non ha infatti alcun legame con COOP non essendo ospitato nel suo dominio.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore

Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
06/02/2017 19:14:12 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2017...
02/01/2017 19:21:43 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2017...
01/12/2016 14:36:20 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2016...
02/11/2016 19:42:09 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2016...
02/10/2016 11:35:15 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2016...
03/09/2016 12:17:53 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2016...
01/08/2016 08:50:27 - Phishing: le frodi maggiormente diffuse nel mese di agosto 2016...
01/07/2016 12:24:06 - Phishing: le frodi maggiormente diffuse nel mese di luglio 2016...
03/06/2016 08:33:29 - Phishing: le frodi maggiormente diffuse nel mese di giugno 2016...
10/05/2016 18:22:09 - Phishing: le frodi maggiormente diffuse nel mese di maggio 2016...

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza: TG Soft rende disponibile Vir.IT eXplorer Lite liberamente utilizzabile sia in ambito privato che in ambito aziendale; Vir.IT eXplorer Lite è stato specificatamente progettato per essere utilizzato ad integrazione di qualsiasi altro AV o Internet Security già presenti sul computer, senza doverli disinstallare o disabilitarne moduli, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità poichè la sicurezza non è mai abbastanza. Vai alla pagina di download.

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.

Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:

1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).

Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 

C.R.A.M. Centro Ricerche Anti-Malware di TG Soft