Questo nuovo tentativo di Phishing proviene da un falso messaggio che allude ad una possibile vincita di uno smartphone Galaxy S10.
Innanzitutto notiamo che l'account da dove giunge il post sembra poco attendibile.. come anche la pagina di ''atterraggio'' che compare dopo aver cliccato sul link proposto:
In calce mostriamo la pagina in cui viene offerta la possibilità, solo per 7 fortunati, di partecipare al concorso promozionale
Questo tentativo di phishing cerca di rubare la password di accesso alla casella di posta elettronica.
Il messaggio informa il cliente che la cassella postale ha supertao il limite di archiviazione come imposto dall'amministratore e che non sarà più in grado di ricevere o inviare nuovi messaggi. Quindi lo invita a riconvalidare la sua casella di posta elettronica, cliccando sul seguente link:
Analizzando la mail notiamo che il messaggio contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email che non sembra riconducibile ad un dominio di posta elettronica <
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il server della casella di posta elettronica, ma che, come si può vedere dall' immagine di sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
Inserendo i propri dati su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
Analizziamo di seguito un tentativo di phishing proveniente da una falsa comunicazione di
Dal post di sponsorizzazione comparso su Facebook e riportato di lato sembrerebbe che IKEA Italia stia dando la possibilità di ottenere un buono spesa del valore di 250 Euro da regalare a 1000 clienti.
La promozione parrebbe valida fino ad esaurimento dei buoni, che come si può vedere, ne rimangono ancora 918!
Sicuramente per molti utenti inesperti dietro questo phishing si cela un vero e proprio specchietto per le allodole.
D'altronde a chi non farebbe gola tentare di vincere ben 250 Euro in buoni spesa?! Proprio oggi che i negozi riaprono al rientro dopo il lockdown per il COVID 19 e potrebbe sembrare anche un tentativo di marketing per promuovere le vendite e ripartire tutti insieme!
A scanso di equivoci si tratta di un tentativo di phishing volto a carpire i vostri dati personali quando, con qualche stratagemma, i CyberCriminali puntino direttamente ai dati della vostra carta di credito.
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.
Innanzitutto l'account da dove giunge il post sembra poco attendibile.. come anche la pagina di ''atterraggio'' che compare dopo aver cliccato sul link proposto.
In conclusione vi invitiamo sempre a diffidare da qualunque messaggio richieda l'inserimento di dati riservati, anche se in palio c'è la vincita di premi o buoni sconto, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Nelle immagini riportate di sotto si può notare infatti che la pagina in cui viene
offerta la possibilità di vincere uno buono del valore di 250 Euro, rispondendo a 3 semplici domande, è ospitata su un indirizzo/dominio che nulla ha a che fare con la catena di mobili IKEA:
"Ikearn.rnrn.fun'"
|
Nell'ulteriore videata in calce, vengono fornite ulteriori istruzioni per poter vincere il buono regalo del valore di 250 Euro...
Questo chiaramente vuole essere un ulteriore tentativo di ingannare l'utente inesperto, semplicemente condividendo questa promozione con 20 Amici / Gruppi su WhatsApp....
|
Ci siamo quasi, stai per essere il fortunato vincitore, ancora poche domande a cui rispondere per poter vincere il buono regalo di 250 Euro, solo oggi
24 Maggio 2020, infatti ogni domenica vengono scelti 10 fortunati utenti casuali...
Nella immagine riportata di sotto si può notare che la pagina che ospita il sondaggio è:
"bpremiumwinners.com'"
|
In pochi secondi viene richiesto di rispondere a 4 domande, di seguito sono state riportate due delle 4 domande a cui viene richiesto di rispondere e che come possiamo vedere sono molto generiche...
|
Oltretutto per trarre in inganno l'utente, possiamo notareche sono stati inseriti un numero non trascurabile di commenti rassicuranti di presunti fortunelli che hanno risposto al questionario ed hanno avuto la fortuna di vedersi consegnare la vincita...
Ci siamo, finalmente arriviamo al form di inserimento dei nostri dati personali, che vengono richiesti per provare a vincere il buono spesa da 250 Euro di IKEA. Attenzione compilando i dati richiesti, questi veranno utilizzati per scopi criminali... |
|
|
In conclusione vi invitiamo sempre a diffidare da qualunque form che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Torna ad inizio pagina
14 Maggio 2020 ==> Phishing Intesa Sanpaolo
«OGGETTO: <
Informazioni di sicurezza: N°Z011932>
Questo nuovo tentativo di phishing giunge da una finta e-mail da parte di
Intesa Sanpaolo.
Il messaggio segnala all'ignaro ricevente che è disponibile un nuovo aggiornamento e che per motivi di sicurezza è stato sospeso il suo accesso on-line, per ripristinare deve confermare i dati del suo conto corrente, attraverso il seguente link:
Accedi alla mia area clienti
Il messaggio di alert giunge da un indirizzo email <edikssukckerbighater(at)inaba(dot)ac(dot)id> estraneo al dominio di Intesa Sanpaolo e contiene un testo che, oltre ad essere estremamente scarno e conciso, è molto generico. Notiamo infatti che non viene riportato alcun dato identificativo del cliente, nè alcun dato identificativo di Intesa Sanpaolo come la P.IVA o sede legale.
L'intento è quello di portare il ricevente a cliccare sul link:
Accedi alla mia area clienti
che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Intesa Sanpaolo ma che, come si può vedere dall' immagine sotto è impostata in modo ragionevolmente ingannevole per un utente inesperto.
|
A colpo d'occhio la pagina web dove si viene dirottati sembra attendibile, soprattutto grazie agli accorgimenti grafici utilizzati che possono trarre in inganno l'utente.
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo/dominio che non ha nulla a che fare con Intesa Sanpaolo, come si può notare dall'immagine di lato, e che riportiamo di seguito:
lintux[.]ir/tahour/ginoung/broust/
6nnm64m/indxkic2b4 |
Inserendo i dati di accesso all'account
Intesa Sanpaolo su questo FORM per effettuare l'accesso al conto corrente, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
12 Maggio 2020 ==> Phishing Aruba "Un problema nel rinnovo dei domini"
«OGGETTO: <
Un problema nel rinnovo dei domini >
Ecco un altro tentativo di phishing che giunge sempre da una falsa comunicazione da parte di
Aruba.
II messaggio informa il ricevente che il suo dominio ospitato su
Aruba è in scadenza il 12/05/2020 e che se non verrà rinnovato entro tale data, i servizi ad esso associati, comprese le caselle di posta elettronica verranno disattivate e non potranno più essere utilizzate per l'invio e la ricezione. Invita quindi l'utente a procedere al rinnovo confermando i dettagli della carta di credito, e per incentivare il pagamento con carta viene comunicato che verrà applicato uno sconto pari a Euro 8,11, per procedere al rinnovo seguire le istruzioni sul seguente link:
RINNOVA IL DOMINIO
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini,
Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <comunicazioni
(at)amromacarservice(dot)com> non proviene dal dominio ufficiale di
Aruba.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
RINNOVA IL DOMINIO
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
Aruba.
|
Come si può vedere dall' immagine di lato la pagina web dove si viene dirottati per il pagamaneto con Banca Sella è impostata in modo ragionevolmente ingannevole per un utente inesperto.
La pagina di inserimento dei dati della propria carta di credito per procedere al rinnovo dei serivizi di Aruba è però ospitata su un indirizzo/dominio che non ha nulla a che fare con Banca Sella.
Nell'immagine si può notare che la pagina che ospita il form di inserimento dei dati della carta di credito è:
eccomec2dec54[.]sella[.]it0d530238[.]
cliziaornato[.]com... |
In conclusione vi invitiamo sempre a diffidare da qualunque e-mail che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
11 Maggio 2020 ==> Phishing Aruba "Tentativo di accesso insolito"
«OGGETTO: <
Tentativo di accesso insolito >
L'ennesimo tentativo di phishing di questo mese che giunge sempre da una falsa comunicazione da parte di
Aruba.
II messaggio informa il ricevente che sono state rilevate attività irregolari nella sua e-mail. Per la sicurezza del suo account è quindi necessario verificare la propria identità, prima di poter inviare e ricevere nuove e-mail. Lo invita quindi a confermare la propria identità attraverso il seguente link:
Conferma ora
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini,
Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <
ryukh(at)changwon(dot)ac(dot)kr> non proviene dal dominio ufficiale di
Aruba.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
Conferma ora
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
Aruba.
|
Come si può vedere dall' immagine di lato la pagina web di inserimento delle proprie credenziali di accesso ai servizi di Aruba è però ospitata su un indirizzo/dominio che nulla ha a che fare con il dominio ufficiale di Aruba.
Nell'immagine si può notare che la pagina che ospita il form di inserimento delle credenziali è:
https[:]//firebasestorage[.]googleapis[.]com/v0/b/... |
In conclusione vi invitiamo sempre a diffidare da qualunque e-mail che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
10 Maggio 2020 ==> Phishing Aruba "Disattivazione casella e-mail"
«OGGETTO: <
Disattivazione casella e-mail>
Ecco l'ennesimo tentativo di phishing che si spaccia per una falsa comunicazione che giunge da
Aruba.
II messaggio informa il ricevente che la sua casella PEC ospitata su
Aruba scadrà il giorno
31/05/2020 e lo informa che qualora il dominio non venga rinnovato entro tale data, non sarà più possibile inviare e ricevere messaggi. Quindi invita il malcapitato a rinnovare il suo dominio, l'operazione è semplice è sufficiente effettuare l'ordine online e il relativo pagamento, attraverso il seguente link:
PAGA ORA CON CARTA DI CREDITO
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini,
Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <
comunicazioni(at)cameracivileroma(dot)com> non proviene dal dominio ufficiale di
Aruba, quantomeno i cybercrimanli hanno avuto l'accortezza di inserire in calce al messaggio la firma del servizio clienti di Aruba.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
PAGA ORA CON CARTA DI CREDITO
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
Aruba ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..
07 Maggio 2020 ==> Phishing Aruba "un errore nell'account di Aruba"
«OGGETTO: <
un errore nell'account di Aruba. >
Il seguente tentativo di phishing che ritroviamo anche questo mese, giunge da una falsa comunicazione da parte di
Aruba.
II messaggio informa il ricevente che il rinnovo del suo dominio ospitato su
Aruba non è andato a buon fine in quanto è stato riscontrato un problema con il rinnovo automatico. Invita quindi il malcapitato a rinnovare manualmente i suoi servizi compilando il modulo con il riepilogo dell'ordine e dove viene riportato il prezzo da pagare, seguendo le istruzioni al seguente link:
https://manage[.]hosting[.]aruba[.]it/AreaUtenti[.]asp?
Lang=it?aggiornare[.]it-DCS4586D1023002O
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini,
Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <
noreplys(at)igrejavideira(dot)com(dot)br> non proviene dal dominio ufficiale di
Aruba.
L'ignaro destinatario che, malauguratamente, dovesse premere sul link
https://manage[.]hosting[.]aruba[.]it/AreaUtenti[.]asp?
Lang=it?aggiornare[.]it-DCS4586D1023002O
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di
Aruba.
|
Come si può vedere dall' immagine di lato la pagina web di inserimento delle proprie credenziali di accesso ai servizi di Aruba è però ospitata su un indirizzo/dominio che nulla ha a che fare con il dominio ufficiale di Aruba.
Nell'immagine si può notare che la pagina che ospita il form di inserimento delle credenziali è:
serveur-prod-melissa-2020[.]com/wp-includes/fonts/log/ |
In conclusione vi invitiamo sempre a diffidare da qualunque e-mail che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.
Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...
Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
02/04/2020 17:43:33 -
Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di aprile 2020...
04/03/2020 18:28:59 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2020...
06/02/2020 09:41:52 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2020...
10/01/2020 12:30:40 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2020...
11/12/2019 15:11:51 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2019...
11/11/2019 10:22:45 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2019...
03/10/2019 08:53:06 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2019...
02/09/2019 09:22:37 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2019...
01/08/2019 15:17:54 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2019...
02/07/2019 16:18:21 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2019...
03/06/2019 15:42:50 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2019...
13/05/2019 09:20:34 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2019...
03/04/2019 09:50:09 -
Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2019...
Prova Vir.IT eXplorer Lite
Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.
Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari: |
|
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM
VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
Ringraziamenti
Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.
Particolari ringraziamenti al sig. Marco Mira e al sig. Giuseppe Pistoia per la fattiva collaborazione che hanno voluto accordarci con l'invio di materiale per l'analisi.
Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
- qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
- salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (https://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Per maggiori approfondimenti su come inoltrare in sicurezza e-mail sospette vi invitiamo a consultare la seguente pagina pubblica: Come inviare e-mail sospette per l'analisi
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
|
|
C.R.A.M. Centro Ricerche Anti-Malware di
TG Soft