|
Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di aprile 2019.
Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
|
INDICE dei PHISHING
|
30 Aprile 2019 ==> Phishing PostePay
«OGGETTO: <
Per favore recita ora: Siamo spacerti di annunciarla che la sua...>
Questo nuovo tentativo di phishing si spaccia per una falsa mail di
Poste Italiane.
Il messaggio informa il cliente che a seguito di varie comunicazioni inviate via mail e sms dove veniva richiesto di aggiornare i propri dati sul sito di
Poste Italiane, si comunica che la carta è stata disabilitata temporaneamente per la mancata verifica dei dati. Invita quindi il malcapitato ad aggiornare i suoi dati per ripristinare i pagamenti e le varie operazioni della sua carta, attraverso il seguente link:
ENTRA
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di
Poste Italiane <info(at)missionmbbs(dot)com> e contiene un testo estremamente generico. Il messaggio inoltre non è firmato e non vi è riportato alcun logo. Non vi è infatti alcun riferimento sull'intestatario del conto di
Poste Italiane, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Chi dovesse malauguratamente cliccare sul link
ENTRA verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito di
Poste Italiane, ma che è è già stato segnalato come pagina /SITO INGANNEVOLE....in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
17 Aprile 2019 ==> Phishing Aruba
OGGETTO: < Dominio: **** >
Questo ennesimo tentativo di phishing giunge da una falsa comunicazione da parte di Aruba.
II messaggio informa il ricevente che risulta ancora pendente una fattura e che questa è associata ad un dominio di Aruba che viene riportato, pertanto informa il cliente che i servizi associati a questo dominio sono stati sospesi e che veranno rilasciati entro poche dal ricezione del pagamento della fattura scaduta. Invita quindi il malcapitato a completare il pagamento attraverso il seguente link:
Clicca qui per andare direttamente allo sconto del tuo metodo di pagamento
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo innanzitutto che l'indirizzo del mittente potrebbe trarre in inganno in quanto sembrerebbe provenire dal dominio ufficiale di Aruba <info(at)Aruba(dot)it> , tuttavia il testo dell'e-mail è estremamente conciso e generico e non viene riportato alcun dato identificatico del cliente.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
Clicca qui per andare direttamente allo sconto del tuo metodo di pagamento
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di Aruba, che è è già stato segnalato come pagina /SITO INGANNEVOLE....in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
17 Aprile 2019 ==> Phishing Poste Italiane
«OGGETTO: <
*******>
Questo nuovo tentativo di phishing si spaccia per una falsa mail di
Poste Italiane.
Il messaggio informa il cliente che dall'ultimo controllo di sicurezza sono state rilevate attività insolite sull'account e pertanto sono limitate alcune funzioni come pagamenti online, trasferimenti bancari e prelievi di denaro. Invita quindi il malcapitato a ripristinare le funzioni dell'account effettuando il login, attraverso il seguente collegamento sicuro:
Accedi a collegamento sicuro
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di
Poste Italiane <info(dot)86561(at)posts(dot)it> e contiene un testo estremamente generico. Il messaggio inoltre non è firmato e non vi è riportato alcun logo. Non vi è infatti alcun riferimento sull'intestatario del conto di
Poste Italiane, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Chi dovesse malauguratamente cliccare sul link
Accedi a collegamento sicuro verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito di
Poste Italiane, come si può vedere dall'immagine sottostante.
|
|
La pagina di accesso alla gestione dell'Account è ospitata su un indirizzo/dominio che nulla ha a che fare con Poste Italiane...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
Https://postepay-poste-it[.]verifica[.]gq/myposte/private/p2p/pos/... |
La pagina web è gestita da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
17 Aprile 2019 ==> Phishing Aruba "Problema di fatturazione."
«OGGETTO: <
Problema di fatturazione.>
Il seguente tentativo di phishing giunge da una falsa comunicazione da parte di
Aruba.
II messaggio informa il ricevente che il suo dominio è attualmente ospitato da
Aruba, e che èstato riscontrato un problema di fatturazione dovuto probabilmente alla carta di credito scaduta o ad un indirizzo di fatturazione sbagliato. Se non si provede al rinnovo entro il 20/04/2019 la casella e-mail cesserà di funzionare. Per procedere al rinnovo del servizio
Aruba è neccessario procedere attraverso il seguente link:
https[:]//managehosting(dot)aruba(dot)it/
AreaUtenti(dot)asp?Lang=it?****=
DCS4586D1023002OP6
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini,
Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che per trarre in inganno l'utente sono stati inseriti in calce al messaggio dei dati identificativi di
Aruba, quali il sito web e la partita IVA.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
''
https[:]//managehosting(dot)aruba(dot)it/AreaUtenti(dot)asp?Lang=it?****=DCS4586D1023002OP6''
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
Aruba.
|
|
Come si può vedere dall' immagine di lato la pagina web è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con Aruba...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
fatturazioneec2dec54[.]aruba-it0d530238[.]bowlingalessandria.it/miop/... |
In conclusione vi invitiamo sempre a diffidare da qualunque e-mail che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
16 Aprile 2019 ==> Phishing Banca BNL
«OGGETTO: <
Avviso del cliente da parte del Banca Popolare di Sondrio>
Questo ennesimo tentativo di phishing giunge da una finta e-mail da parte di
Banca BNL.
Il messaggio segnala all'ignaro ricevente che il suo account web è stato disattivato e viene indicato il seguente link:
https://bnl.it/banking/bloccato/179725
Il messaggio di alert giunge da un indirizzo email <burnings(at)t-online(dot)de> estraneo al dominio di Banca BNL e contiene un testo estremamanete semplice e molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente, nè alcun dato identificativo di Banca BNL come la P.IVA o sede legale.
L'intento è quello di portare il ricevente a cliccare sul link:
https://bnl.it/banking/bloccato/179725
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Banca BNL poichè è ospitato su un dominio anomalo e che è già stato segnalato come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
Torna ad inizio pagina
15 Aprile 2019 ==> Phishing Aruba
OGGETTO: < Pagamento rifiutato >
Questo nuovo tentativo di phishing giunge da una falsa comunicazione da parte di Aruba.
II messaggio informa il ricevente che i diversi tenativi di addebito dei costi di rinnovo dei servizi di Aruba che ammontano a Euro 3,15 sono stati rifiutati dalla banca, qualora non si proceda al rinnovo tutti i servizi saranno sospesi. Invita quindi il malcapitato a compilare il modulo di rinnovo manualmente seguendo le istruzioni dal seguente link:
ACCEDETE AL VOSTRO MODULO DI PAGAMENTO
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo innanzitutto che l'indirizzo del mittente <dubis(at)nateko-lodges(dot)fr> non è chiaramente riconducibile al dominio ufficiale di Aruba, tuttavia il testo dell'e-mail è graficamente ben impostato e in cacle vengono riportati dei dati identificativi quali P.IVA e sito internet.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
ACCEDETE AL VOSTRO MODULO DI PAGAMENTO
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di Aruba.
|
|
Come si può vedere dall' immagine di lato la pagina web è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con Aruba...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
pagamentiec2dec54[.]aruba[.]it0d530238[.]
h2pharma[.]com[/]cs... |
In conclusione vi invitiamo sempre a diffidare da qualunque e-mail che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
15 Aprile 2019 ==> Phishing Libero
«OGGETTO: <
Nota: Questo account sarà cancellato>
Questo tentativo di phishing si spaccia per una falsa mail di
Libero, il servizio di posta elettronica gratuito.
Il messaggio informa il cliente che il suo account verrà presto cacnellato, per evitare la cancellaziona ha tempo 72 ore cliccando sul seguente link:
http[:]//ext-52[.]multiscreensite[.]com
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email che non sembra riconducibile al dominio di
Libero <rose-walter(dot)spiess(at)t-online(dot)de> e contiene un testo estremamente generico.
Chi dovesse malauguratamente cliccare sul link
http[:]//ext-52[.]multiscreensite[.]com verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con il sito di
Libero poichè è ospitato su un dominio anomalo e che è già stato segnalato come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
11 Aprile 2019 ==> Sex Tortion minaccia di estorsione di una somma di denaro in Bitcoin via e-mail
Anche questo mese continuano a circolare e-mail legate alla campagna di SPAM, che ricattano i malcapitati utenti, già rilevata nel corso dei mesi scorsi dal nostro
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft, veicolati dalla minaccia di divulgare un video privato per tentare una estorsione in denaro (Bitcoin).
L' e-mail, che ritroviamo in lingua inglese o in lingua italiana, di cui vi riportiamo alcuni esempi, minaccia l'utente di divulgare
un suo video privato mentre guarda siti per adulti, e gli propone un'offerta
per non divulgare tra i suoi contatti mail e social il suo video privato invitandolo a pagare una somma di denaro sottoforma di Bitcoin.
Va notato che il cybercriminale sostiene di possedere la password utilizzata dall'utente sul suo account di posta elettronica, questo induce molti malcapitati a credere a ciò che viene poi riportato, credendo che il suo dispositivo sia stato violato, infatti molto spesso l'e-mail giunge dal nostro stesso indirizzo di posta elettronica. La tecnica in realtà è quella di sfruttare le password provenienti da Leak (furto di dati) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.) approfittando dell'abitudine avventata, ma spesso molto comune, di utilizzare la stessa password per servizi Web differenti.
In tutti gli esempi analizzati ritroviamo un filo conduttore, i testi dell' e-mail sono particolarmenti dettagliati in quanto viene indicato il modo in cui il dispositivo è stato hackerato e in alcuni casi anche il periodo, il virus installato oltrettutto è dotato di un avviso automatico che avverte il cybercriminale quando l'e-mail viene aperta, e da quel momento il malcapitato ha tempo in genere 48/72 ore per pagare. Viene quindi indicato il wallet per il pagamento in Bitcoin e indicazioni su come trasferire denaro a un portafoglio bitcoin.
L'obbiettivo di questa TRUFFA è ovviamente quello di estorcere una somma in denaro con una transazione in Bitcoin, che può variare come abbiamo visto nei messaggi che circolano in questi mesi da 200 $ ai 2000 $ fino a 7000 $.
Di seguito riportiamo alcuni esempi analizzati questo mese
10 Aprile 2019: "Nuova pooystresk"
Nell'immagine di lato, riportiamo il messaggio che più di tutti sta circolando questo mese in Italia, il cybercriminale richiede un riscatto di 530€ in cambio non metterà in circolazione un video privato.
Analizzando il messaggio, il cyber criminale dichiara di aver infettato il computer del malcapitato utente con un software malevolo, attraverso il quale riesce a monitorare i siti che visita l'utente e ad accedere ai suoi contatti social, mail...
La somma richiesta in questo caso non è molto alta in cambio della cancellazione di un presunto video privato. |
 |
04 Aprile 2019
Nell'immagine di lato, riportiamo il messaggio in lingua inglese, di un altro tentativo di ricatto legato alla Sex Tortion, rivolto ad un target non specificatamente italiano. Attenzione anche in questo caso il cybercriminale sostien di possedere una password di accesso all' account di posta eletronica del destinatario. Attenzione notiamo che in questo caso il testo dell'e-mail è stato inserito come immagine.
Viene riportato il wallet per il pagamento del riscatto di 1000 USD e dato un limite di tempo di 48 ore per pagare il riscatto. |
 |
01 Aprile 2019: "****"
Nell'immagine di lato, riportiamo il messaggio in lingua inglese, di un altro tentativo di ricatto legato alla Sex Tortion, rivolto ad un target non specificatamente italiano. Attenzione in questo caso il cybercriminale sostiene di possedere una password di accesso all' account di posta eletronica del destinatario, che viene anche indicata nel messaggio. Di seguito riportiamo una parte del testo:
Sono a conoscenza della tuo password. Non mi conosci e probabilmente stai pensando perché stai ricevendo questa mail? Lascia che te lo dica, ho inserito un software sul sito Web che hai visitato per divertirti (capisci cosa intendo). Durante la visione di video, il tuo browser Internet ha iniziato a funzionare come RDP permettendomi di accedere al tuo display e alla webcam. Subito dopo, il mio programma software ha raccolto i tuoi contatti completi da Messenger, FB e email. Poi ho fatto un video tuo personale.
Hai dunque due possibilità: la prima alternativa è quella di ignorare questa email; la seconda opzione sarebbe quella di pagare USD 989, in questo caso eliminerò immediatamente la registrazione video. |
 |
Qualcuno ha pagato il riscatto...
Il malcapitato destinatario, a detta del cybercriminale, alla ricezione del messaggio può decidere, di ignorarlo con il rischio che il presunto video venga messo in circolazione tra i suoi contatti oppure pagare la somma richiesta in cambio il video verrà eliminato. Per pagare inoltre ha tempo solitamente 48 o 72 ore altrimenti il video verrà messo in circolazione.
L'obbiettivo di questa TRUFFA è ovviamente quello di estorcere una somma in denaro con una transazione in Bitcoin, analizzando i diversi wallet che sono stati indicati nei messaggi che circolano in questo mese, possiamo notare che c'è una tendenza a pagare la somma richiesta quando questa è bassa e si aggira sui 200/300 Euro. Le truffe in lingua inglese o comunque non rivolte ad un target italiano, solitamente richiedono cifre ben più alte (dai 2000 ai 3000 dollari) e in questi casi i pagamenti che si possono rintracciare sui wallet indicati sono pochi o addirittura non vi è alcuna transazione.
Riportiamo di seguito i pagamenti effettuati su alcuni wallet:
Wallet : "
15PXXXXXXXXXXXXXXXXXXXXXX5RLXX", importo richiesto di 989 Dollari, ad oggi
11/04/2019 il wallet risulta vuoto.
Wallet : "
1FzXXXXXXXXXXXXXXXXXXXXXXBFWXX", importo richiesto di 530 Euro, ad oggi
11/04/2019 il wallet risulta vuoto.
Wallet : "
14DXXXXXXXXXXXXXXXXXXXXXXaYmXX", importo richiesto 727 Dollari, ad oggi
11/04/2019 sono stati registrate 9 transazioni per un totale di Euro 5769,06.
Come proteggere i tuoi dati dai tentativi di truffa informatica...
Vi invitiamo sempre a diffidare da qualunque e-mail che Vi intima a pagare somme di denaro sotto ricatto e a NON pagare nessuna cifra di denaro in quanto non vi assicurerebbe di bloccare la minaccia.
Quello che invece Vi consigliamo di fare è di cambiare tempestivamente la password di accesso alla posta elettronica, infatti la cosa che dovrebbe più allarmarci è la tecnica utilizzata per inviare queste e-mail di SPAM, che sembrerebbero inviate dallo stesso account di posta elettronica del destinatario, questo significa che i truffatori sono venuti in possesso della Vostra password di accesso al servizio di posta elettronica e presumibilmente anche di altri account, ad esempio dei Social.
| Se sospetti di essere venuto in contatto con virus, spyware, ransomware o più in generale malware di nuova generazione, come anche mail di potenziale malspam, phishing, e volete analizzare lo stato di compromissione dei Vostri PC, potete inviare gratuitamente il materiale da analizzare al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft . |
|
Fate quindi attenzione a non utilizzare le stesse password quando vi iscrivete a diversi tipi di siti/servizi web, in particolare usate password diverse per i servizi sensibili (come l'homebanking, la posta elettronica...), in quanto rischiate di fornire la vostra password su siti poco affidabili che verrebbero facilmente utilizzati per scopi criminali. Sarebbe buona norma quindi differenziare le password usate per ogni sito/servizio web e modificarle sistematicamente.
11 Aprile 2019 ==> Phishing Banca Popolare di Sondrio
«OGGETTO: <
Avviso del cliente da parte del Banca Popolare di Sondrio>
Questo nuovo tentativo di phishing giunge da una finta e-mail da parte di
Banca Popolare di Sondrio.
Il messaggio segnala all'ignaro ricevente che la sua password è scaduta e che per completare il login è necessario accedere al seguente link:
accedi cliccando qui!
Il messaggio di alert giunge da un indirizzo email <info(at)antenore(dot)org> estraneo al dominio di Banca Popolare di Sondrio e contiene un testo estremamanete semplice e molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente, nè alcun dato identificativo di Banca Popolare di Sondrio come la P.IVA o sede legale.
L'intento è quello di portare il ricevente a cliccare sul link:
accedi cliccando qui!
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Banca Popolare di Sondrio ma che rimanda ad una finta pagina della Home Banking del cliente, in questo caso di Intesa Sanpaolo e che è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
|
A colpo d'occhio la pagina web dove si viene dirottati sembra attendibile, soprattutto grazie agli accorgimenti grafici utilizzati che possono trarre in inganno l'utente.
La pagina di accesso alla Home Banking però è ospitata su un indirizzo/dominio che non ha nulla a che fare con Intesa Sanpaolo, come si può notare dall'immagine di lato, e che riportiamo di seguito:
revmedi[.]com/INTESASANPAOLO[.]CO/login[.]html |
Inserendo i dati di accesso all'account
Intesa Sanpaolo su questo FORM per effettuare l'accesso al conto corrente, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
10 Aprile 2019 ==> Phishing Aruba
«OGGETTO: <
Problema di fatturazione >
Continua la campagna di phishing che giunge quetsa volta come una falsa comunicazione da parte di
Aruba.
II messaggio informa il ricevente che è stato riscontrato un problòema di fatturazione, che di solito indica che la carta di credito è scaduta o chel'indirizzo di fatturazione non è valido. Gli ricorda quindi che il suo dominio ospitato su
Aruba è in scadenza il 14/04/2019 e che qualora non venga rinnovato la casella AREA CLIENTI cesserà di funzionare. Per aggiornare le informazioni per la fatturazione è possibile procedere dal seguente link:
https[:]//managehosting[.]aruba[.]it/AreaUtenti
[.]asp?Lang=it?xxxx=DCS4586D1023002OP6
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini
Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo innanzitutto che l'indirizzo del mittente <
contact@tools.com> non è chiaramente riconducibile al dominio ufficiale di
Aruba.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
https[:]//managehosting[.]aruba[.]it/AreaUtenti[.]asp?Lang=it?xxxx=DCS4586D1023002OP6
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
Aruba.
|
|
Come si può vedere dall' immagine di lato la pagina web è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che nulla ha a che fare con Aruba...
Nell'immagine si può notare che la pagina che ospita il form di autenticazione è:
topupec2dec54.aruba.it0d530238.optyphoto.com... |
In conclusione vi invitiamo sempre a diffidare da qualunque e-mail che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
03 Aprile 2019 ==> Phishing CREVAL Banca
«OGGETTO: <
Avviso del cliente da parte del Credito Valtellineseo>
Questo nuovo tentativo di phishing giunge da una finta e-mail da parte di
CREVAL BANCA.
Il messaggio segnala all'ignaro ricevente che la sua password è scaduta e che per completare il login è necessario accedere dal seguente link:
accedi cliccando qui!
Il messaggio di alert giunge da un indirizzo email <postmaster(at)hanbitc(dot)org> estraneo al dominio di CREVAL BANCA e contiene un testo che, oltre ad essere estremamente scarno e conciso, è molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente, nè alcun dato identificativo di CREVAL BANCA come la P.IVA o sede legale.
L'intento è quello di portare il ricevente a cliccare sul link:
accedi cliccando qui!
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di CREVAL BANCA. ma che, come si può vedere dall' immagine sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
|
A colpo d'occhio la pagina web dove si viene dirottati sembra attendibile, soprattutto grazie agli accorgimenti grafici utilizzati che possono trarre in inganno l'utente.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che non ha nulla a che fare con CREVAL BANCA, come si può notare dall'immagine di lato, e che riportiamo di seguito:
revmedi[.]com/creval/crev[.]htm |
Inserendo i dati di accesso all'account
CREVAL BANCA su questo FORM per effettuare l'accesso al conto corrente, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
03 Aprile 2019 ==> Phishing casella postale
«OGGETTO: <
ATTENTION: EMAIL ADMINISTRATOR UPDATE>
Questo tentativo di phishing cerca di rubare la password di accesso alla casella di posta elettronica.
Il messaggio informa il cliente che non è possibile ricevere nuovi messaggi in arrivo a causa di un malfunzionamento della sua casella di posta elettronica. Lo invita quindi ad aggiornare l'account, cliccando sul seguente link:
Update ****
Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email che non sembra riconducibile ad un dominio di posta elettronica
<ramdarapu(at)hotstar(dot)com> e contiene un testo estremamente generico.
Chi dovesse malauguratamente cliccare sul link
Update **** verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con l'amministratore della casella postale poichè è ospitato su un dominio anomalo e che è già stato segnalato come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...
Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
05/03/2019 10:10:57 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2019...
04/02/2019 11:17:34 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2019...
07/01/2019 18:22:55 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2019...
04/12/2018 09:10:21 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2018...
08/11/2018 11:37:10 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2018...
04/10/2018 17:22:49 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2018...
03/09/2018 15:11:00 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2018...
06/08/2018 10:55:24 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2018...
10/07/2018 14:57:39 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2018...
05/06/2018 15:41:28 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2018...
10/05/2018 10:23:32 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2018...
03/04/2018 15:38:12 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2018...
Prova Vir.IT eXplorer Lite
Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.
Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari: |
 |
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM
VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
Ringraziamenti
Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.
Particolari ringraziamenti al sig. Marco Mira e al sig. Giuseppe Pistoia per la fattiva collaborazione che hanno voluto accordarci con l'invio di materiale per l'analisi.
Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
- qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
- salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (https://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft
