31 maggio 2017 ==> Phishing WhatsApp Messenger.
«OGGETTO: <
Attenzione! Il tuo account WhatsApp Messenger è scaduto>
Anche questo mese non mancano tentativi di phishing provenienti da false email di WhatsApp Messenger.
Il messaggio vorrebbe far credere al malcapitato ricevente che il suo account WhatsApp Messenger è scaduto e che è necessario procedere al suo tempestivo rinnovo per impedire che tutti i media salvati (immagini, video..) vengano persi.
Ad un primo impatto visivo entrambi il messaggio potrebbero essere fuorviante. La nostra attenzione infatti ricade sul logo di WhatsApp Messenger, identico a quello autentico, che è stato inserito dai creatori per rendere il messaggio più attendibile. Tuttavia notiamo che l'indirizzo email del mittente non sembra aver alcun legame con WhatsApp Messenger e questo dovrebbe quantomai insospettrici. |
|
Il testo del messaggio inoltre è molto generico poichè non fà riferimento al numero di telefono associato all'utenza WhatsApp e questo dovrebbe essere un chiaro segnale della falsità del messaggio.
I link riportato nel messaggio:
'"Rinnova il tuo WhatsApp Messenger"
dirotta su una pagina internet contenente un modulo che induce l'utente ad inserire i dati relativi alla sua carta di credito per procedere al rinnovo/pagamento dell'abbonamento.
|
|
Come possiamo vedere nell'immagine a sinistra l'indirizzo WEB sulla barra di navigazione non ha nulla a che vedere con il sito di WhatsApp Messenger poichè non è ospitato sul suo dominio.
Pertanto tutti i dati eventualmente inseriti verrebbero inviati su un Server remoto e utilizzati dai cyber-criminali per usi di loro maggiore interesse e profitto, facilmente immaginabili. |
In conclusione ci preme precisare che il noto servizio di messaggistica istantanea è estraneo all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
31 maggio 2017 ==> Phishing Apple
«OGGETTO: <
Le informazioni del tuo ID-Apple sono state aggiornate>
Si termina il mese di maggio con un altro tentativo di phishing che giunge da una finta email da parte di
Apple.
Il messaggio sembrerebbe segnalare all'ignaro ricevente che sono state apportate delle modifiche al suo account Apple ID e che, nel caso in cui tali modifiche non siano state richieste dal cliente, è consigliato procedere a verificare i dati inseriti e aggiornarli.
Lo scopo è quello di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica. |
|
Il messaggio di alert giunge da un indirizzo email <
donot(at)repaly(dot)com> che non appartiene al dominio ufficiale di
Apple. Inoltre i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di
Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.
L'intento è quello di portare il ricevente a cliccare sul link:
Il mio ID Apple
come anche sui link di fondo pagina:
ID Apple | Supporto | Norme sulla privacy
che, ci preme precisarlo, rimandano tutti ad una pagina che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
|
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con Apple...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
https://cca-mgt-1[.]customcompanyapp[.]com/styles
/IT/Login.php?.. |
Inserendo i dati di accesso all'account
Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
29 maggio 2017 ==> Phishing UniCredit
«OGGETTO: <
Uni: 192477030>
Il seguente tentativo di phishing si spaccia per finta email da parte di
UniCredit.
L'e-mail invita il malcapitato ricevente a cliccare sul link
Continua per visulaizzare il messaggio a lui riservato da
UniCredit.
A colpo d'occhio notiamo subito che l'indirizzo email del mittente
info(at)cz(dot)unicreditbanking(dot)net non sembrerebbe riconducibile al dominio reale di
Unicredit, anche se i cyber-truffatori hanno avuto l'accoratezza di inserire la P.Iva dell'ente bancario, in calce all'e-mail.
La richiesta della mail, poco chiara e precisa dovrebbe quanto mai insospettirci. Il testo inoltre è estremamente generico e non riporta immagini del logo dell'ente bancario, inoltre non contiene riferimenti al titolare del conto corrente UniCredit oggetto dell'alert, diversamente da quanto avviene nella maggior parte delle comunicazioni ufficiali e autentiche di questo tipo.
Cliccando sul link:
Continua
si verrà indirizzati su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali codice di adesione e pin. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale.
 |
Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di UniCredit, poichè è ospitato su un dominio anomalo.
www[.]online-retail[.]unicredit[.]it
-logind52ac2jffesoqcuenw97rdamd89d67[.]
gabbihairdressing[.]co[.]uk
Bisogna riconoscere però che il form di autenticazione che simula quello di UniCredit, graficamente, è ragionevolmente credibile.
|
Tutto questo per concludere che i dati eventualmente inseriti nel form fasullo non verranno trasmessi ai server di UniCredit ma ad un server remoto gestito da cyber-truffatori che se ne appropieranno con tutti i rischi annessi e connessi facilmente immaginabili.
23 maggio 2017 ==> Phishing Huawei
«OGGETTO:
<
lordine deve essere confermato ... >
Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di
Huawei.
II messaggio vuol far credere al ricevente che l'ordine da lui effettuato, a loro dire, è stato ricevuto e che è necessario confermarlo tramite il link:
Conferma dellordine - (#115157487)
Chiaramente la nota marca di smartphone
Huawei è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Ad una prima analisi possiamo notare che il messaggio proviene da un indirizzo email estraneo alla nota azienda
Huawei senza contare che non è presente alcun riferimento identificativo, che possa ricondurci all'azienda
Huawei, quali sede legale, partita IVA o eventuali recapiti telefonici, ma solo un logo identificativo, che potrebbe trarre in inganno.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link:
Conferma dellordine - (#115157487)
verrà dirottato su una pagina web che non ha nulla a che vedere con il sito di
Huawei.
|
La tab del broswer con titolo ''Congratulazioni'' inviterà il consumatore, o presunto tale, a rispondere alle 3 domande del sondaggio per tentare la vincita del nuovissimo Huawei P10, al termine del quale veranno visualizzate le offerte disponibili a lui dedicate.
|
Come mostrato nell'immagine qui sotto al termine del sondaggio, una volta scelto tra lo smartphone Huawei P10 Lite o Huawei P10 Plus, viene richiesto di compilare il form con l'inserimento dei dati personali.
|
Il testo del messaggio inoltre contiene altri link, oltre a
Conferma dellordine - (#115157487), che riportiamo di seguito:
order@huawei.it
QUI - ORDINE HUAWEI # 115157487
ORDINE - # 115157487
e il logo di
Huawei
che se premuti dirottano su altre pagine web malevoli, dove vengono richiesti dati sensibili, come si desume dalle immagini sottostanti.
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
22 maggio 2017 ==> Phishing COOP
«OGGETTO:
<
Trattamento di oggi per ... >
Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di
COOP.
II messaggio vuol far credere al ricevente che è stato selezionato tra i clienti di COOP, in quanto cliente stimato, per poter ottenere dei premi. Per partecipare deve cliccare sul link:
Richiedi subito la tua richiesta cliccando qui
Chiaramente la catena di ipermercati COOP è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Ad una prima analisi possiamo notare che il messaggio proviene da un indirizzo email estraneo alla catena COOP senza contare che non è presente alcun riferimento identificativo che possa ricondurci all'azienda COOP, quali sede legale, partita IVA o eventuali recapiti telefonici, ma solo un logo identificativo, che potrebbe trarre in inganno.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link:
Richiedi subito la tua richiesta cliccando qui
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di COOP.
|
La tab del broswer con titolo ''Sondaggio annuale visitatore 2017!'' inviterà il consumatore, o presunto tale, a rispondere alle 4 domande del sondaggio per tentare la vincita del buono spesa di 500€, al termine del quale veranno visulizzate le offerte disponibili a lui dedicate.
|
Come mostrato nell'immagine qui sotto al termine del sondaggio vengono proposte delle offerte da selezionare, cliccando sul pulsante "Clicca qui".
|
Premendo il pulsante "
Clicca qui" si verrà dirottati su un'altra pagina web, malevole dove viene richiesto di completare un altro sondaggio, ma che non ha chiaramente nulla a che fare con la catena
COOP.
|
Dal precedente sondaggio, si viene dirottati su una nuova pagina web con titolo ''Supermercato'' che inviterà il consumatore, o presunto tale, a rispondere ad altre 4 domande per tentare la vincita del fantomatico buono spesa di 500€.
|
Come mostrato nell'immagine qui sotto al termine del sondaggio viene richiesto di inserire i propri dati personali per ricevere il buono spesa da 500€.
|
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
19 maggio 2017 ==> Phishing PosteItaliane
«OGGETTO: <
Verifica della tua identita!>
Ecco un altro tentativo di phishing che giunge da una falsa mail di
Poste Italiane.
Il messaggio vuol far credere al malcapitato ricevente che dal 1 Gennaio 2017 è disponibile una nuova piattaforma del sito molto più sicura, ed invita il cliente ad aggiornare i propri dati cliccando sul link CLICCA QUI.
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di Poste Italiane e contiene un testo generico. Non vi è infatti alcun riferimento sull'intestatario del conto on-line, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Chi dovesse malauguratamente cliccare sul link CLICCA QUI verrà indirizzato su una pagina WEB malevole, in cui vengono richiesti i codici di accesso al conto corrente online quali nome utente e password. Come evidenziato nell'immagine qui sotto il form di autenticazione simula quello originale. Tuttavia l'indirizzo sulla barra del broswer non è riconducibile al sito ufficiale di Poste Italiane poichè è ospitato su un dominio anomalo.
|
|
Infatti il sito internet riportato in calce
''www[.]jobsite[.]mu/ppp/pos/foo-autenticazione[.]php..''
non ha alcun legame con il sito web di Poste Italiane perchè risiede su un dominio anomalo.
L'assenza del protocollo HTTPS inoltre dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.
|
Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
17 maggio 2017 ==> Phishing Apple
«OGGETTO: <
Le informazioni del tuo ID-Apple sono state aggiornate>
Questi nuovi tentativi di phishing giungono da una finta email da parte di Apple.
Questa volta il messaggio sembrerebbe segnalare all'ignaro ricevente che il suo account Apple ID è stato modificato e che è necessario accedere per verificare i dati e riconfermali.
Il messaggio seguente invece, sembrerebbe riprendere il primo in quanto il testo invita il malcapitato a continuare la procedura di ripristino della password, già avviata in precedenza.
In entrambi i casi, lo scopo è quello di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.
Entrambi i messaggi di alert, che differiscono nel testo, giungono dallo stesso indirizzo email <appleid(at)noreplay(dot)com> che non appartiene al dominio ufficiale di Apple. Inoltre i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail.
L'intento è quello di portare il ricevente a cliccare sui seguenti link:
Il mio ID Apple
Ripristina la password o sblocca l'ID Apple
come anche sui link di fondo pagina:
ID Apple | Supporto | Norme sulla privacy
che, ci preme precisarlo, rimandano tutti ad una stessa pagina web che non ha nulla a che vedere con il sito di Apple ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo / dominio che nulla ha a che fare con Apple...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
https://www[.]orologiopresenze[.]it/adminps/themes
/default/fonts/IT/Login.php?
Nel secondo tentativo i link rimandano ad una pagina web impostata allo stesso modo ma dove cambia solo l'indirizzo Url che è il seguente:
http://www[.]swiatseby[.]pl/wp-content/plugins
/wordpress-seo/css/toggle-switch/IT/Login[.]php?
Inserendo i dati di accesso all'account Apple su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
|
12 maggio 2017 ==> Phishing Trony
«OGGETTO: <
Trony ti premia, ecco il tuo buono>
Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di Trony.
II messaggio vuol far credere al ricevente che è stato selezionato per partecipare alla campagna Vinci TRONY che prevede l'estrazione di un buono del valore di 1000 € da utilizzare per l'acquisto di smartphone, fotocamere, elettrodomestici. L'offerta ha una scadenza fino a fine mese e per provare a vincere è neccessario cliccare sul link RITIRA IL TUO BUONO.
Chiaramente il gruppo Trony è estraneo all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Ad un primo impatto visivo il messaggio potrebbe essere fuorviante poichè è impaginato in modo ordinato; i cyber-creatori della truffa hanno avuto anche l'accorgimento grafico di inserire delle immagini per rendere il messaggio più credibile.
Tuttavia analizzando il testo notiamo che non è presente alcun riferimento identificativo che possa ricondurci all'azienda Trony, quali sede legale, partita IVA o eventuali recapiti telefonici.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente postmaster@ong[.]beesfirst[.]com che non proviene dal dominio reale di Trony ma da uno anomalo.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
''RITIRA IL TUO BUONO''
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di Trony.
|
La tab del broswer con titolo ''Il tuo Voucher Trony'' inviterà l'utente a rispondere a 3 domande per partecipare al sondaggio, che dovrebbe permettergli di vincere come premio un buono dal valore di 1000€.
Viene fornito un tempo massimo per rispondere alle domande e successivamente si viene dirottati su un FORM di autenticazioneper confermare i propri dati.
|
Come visualizzato nella videata in calce al termine del sondaggio il sito rimanda ad un FORM di autenticazione dove vengono richiesti dati sensibili.
Possiamo notare facilmente che l'indirizzo sulla barra del broswer non ha nulla a che fare con Trony poichè è ospitato su un dominio anomalo e questo dovrebbe essere un chiaro segnale sull' inattendibilità del FORM.
|
Nella mail phishing analizzata sono presenti anche i seguenti link:
Vinci Trony
CLICCA QUI
qui
Che, se premuti, rimandano anch'essi alla stessa pagina web malevole.
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
9 maggio 2017 ==> Phishing UniCredit
«OGGETTO: <
(1) messaggio>
Il seguente tentativo di phishing si spaccia per finta email da parte di
UniCredit.
L'e-mail invita il malcapitato ricevente a collegarsi all' home banking di UniCredit, scaricando il messaggio allegato, per aggiornare il suo profilo servizio clienti e impedire che l'accesso al conto corrente online venga sospeso.
A colpo d'occhio notiamo subito che l'indirizzo email del mittente newsletter@staff.aruba.it non sembrerebbe riconducibile al dominio reale di Unicredit, inoltre non risulta presente alcun dato identificatico (a parte il logo) che possa ricondurci al noto ente bancario.
La richiesta della mail, poco chiara e precisa dovrebbe quanto mai insospettirci. Il testo inoltre è estremamente generico e non contiene riferimenti al titolare del conto corrente UniCredit oggetto dell'alert, diversamente da quanto avviene nella maggior parte delle comunicazioni ufficiali e autentiche di questo tipo, ed è firmato da un generico 'Divisione retail desk Unicredit'.
Scaricando il messaggio allegato il ricevente viene invitato ad aggiornare i propri dati del conto corrente, al fine di evitare futuri problemi in quanto sono state, a dire dei cyber-truffatori, migliorate le misure di sicurezza.
Cliccando sul link ''https://online-retail[.]unicredit[.]it/login[.]htm'' , che è stato volutamente impostato in https per trarre in inganno, si verrà indirizzati su una pagina web ''anomala'' che non ha nulla a che vedere con il sito web reale di UniCredit... Bisogna riconoscere che il form di autenticazione che simula quello di UniCredit, graficamente, è ragionevolmente credibile.
Tutto questo per concludere che i dati eventualmente inseriti nel form fasullo non verranno trasmessi ai server di UniCredit ma ad un server remoto gestito da cyber-truffatori che se ne appropieranno con tutti i rischi annessi e connessi facilmente immaginabili.
06 Maggio 2017 ==> Phishing LIDL
«OGGETTO: <
25 euro da spendere alla LIDL>
Ecco un altro nuovo tentativo di phishing mascherato come buono sconto per i clienti della nota catena di ipermercati
Lidl.
II messaggio invita il ricevente a richiedere un buono sconto del valore di € 25,00 che la catena Lidl sembrerebbe mettere a disposizione ai suoi clienti dopo il pagamento di SOLO 1 € seguendo la procedura di acquisizione attraverso il link ''Clicca qui''. L'obiettivo resta chiaramente quello di dirottare l'ignaro utente su una pagina web anomala.
Analizzando il testo notiamo che è graficamente ingannevole poichè la nostra attenzione ricade sulle immagini e sul logo autentico della catena di ipermercati Lidl. Dopo un'attenta analisi possiamo però riscontrare la mancanza dei riferimenti societari di Lidl quali sede legale, partita IVA o eventuali recapiti telefonici.
Come per la gran parte dei phishing l'indirizzo email del mittente clienti@risparmisututto.it non ha alcun legame con Lidl risiedendo su un dominio anomalo.
Lo scopo del messaggio è quello di indurre l'ignaro destinatario a cliccare sul link
''Clicca qui''
Se si dovesse sventuratamente cliccare sul link si verebbe dirottati su una pagina web dove viene richiesto l'inserimento di dati sensibili, quali l'indirizzo e-mail del malcapitato ricevente, per vincere un buono spesa del valore di € 25,00.
Inserendo i dati richiesti si viene successivamente rimandati su un'altra pagina web, sembre appartenente ad un sito malevole, in cui viene richiesto l'inserimento dei dati della carta di credito per poter procedere al pagamento di solo 1€ in cambio del buono spesa.
|
La tab del broswer con titolo 'Offerta di Benevenuto'' inviterà il consumatore, o presunto tale, ad inserire il proprio indirizzo e-mail per vincere come premio un buono spesa di 25€.
|
Chi dovesse inserire il proprio indirizzo e-mail verrà successivamente rimandato ad una pagina web, come riportato nell'immagine in calce, che richiederà l'inserimento di dati sensibili. Anche in questa pagina notiamo che l'indirizzo sulla barra di navigazione è anomalo.
|
Chiaramente la catena di ipermercati
Lidl è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Riportiamo di seguito alcuni tentativi di phishing che provengono tutti da una falsa comunicazione di PosteItaliane.
I casi di seguito indicati, che provengono tutti da un indirizzo e-mail del mittente non riconducibile a PosteItaliane, allertano il cliente su una
situazione anomala che si è verificata con la sua carta o con il suo conto corrente online, richiedendo di verificare i propri dati e aggiornarli.
Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.
Particolari ringraziamenti al Sig. Marco Mira per la fattiva collaborazione che ha voluto accordarci con l'invio di materiale per l'analisi.
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
