Selected news item is not available in the requested language.

Italian language proposed.

Close

04/11/2020
17:18

Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di NOVEMBRE 2020...


Scoprite quali siano i tentativi di phishing piu' comuni che potreste incontrare e, con un po' di colpo d'occhio, anche evitare..




Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di novembre 2020.

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
 

INDICE dei PHISHING

30/11/2020 => Webmail
29/11/2020 => Sextortion ITA
23/11/2020 => Smishing Intesa Sanpaolo
19/11/2020 => Amazon ''Vinci un buono di 500 €''
14/11/2020 => Vincita Lotteria USA
13/11/2020 => Aruba "Messaggi in arrivo in sospeso"
12/11/2020 => Amazon.de
11/11/2020 => Nexi
09/11/2020 => Webmail
08/11/2020 => Apple
08/11/2020 => Aruba
04/11/2020 => Smishing Intesa Sanpaolo
02/11/2020 => Sextorion



 

30 Novembre ==> Phishing Webmail

 

«OGGETTO: <**** (9) Messages Pending Delivery>

Questo tentativo di phishing ha l'obiettivo di rubare la password di accesso alla casella di posta elettronica.

Clicca per ingrandire l'immagine della falsa e-mail dell'amministratore dell'account di posta elettronica, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso all'account.
Il messaggio, in linqua inglese, informa l'utente che ha 9 messaggi pendenti che non risultano essere stati ancora recapitati, a causa di un aggiornamento del suo account di posta elettronica. Lo invita quindi ad effettuare il login e a validare la password, dopo 48 ore il suo account verrà bloccato. Per aggiornare le informazioni procedere attraverso il seguente link:

Confirm account now

Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email che non sembra attendibile <admin(at)cirnb(dot)co>.

Chi dovesse malauguratamente cliccare sul link Confirm account now verrà dirottato su una pagina WEB che non ha nulla a che vedere con il server della casella di posta elettronica,  ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..
 
Torna ad inizio pagina

29 Novembre 2020 ==> SexTortion: "Proposta d'affari"

 Ecco un altro tentativo di SCAM, di cui vi riportiamo di seguito il testo, in lingua italiana, che minaccia l'utente di divulgare un suo video privato mentre guarda siti per adulti, e gli propone un'offerta per non divulgare il video tra i suoi contatti mail e social invitandolo a pagare una somma di denaro sottoforma di Bitcoin.

"Hai notato di recente che ti ho inviato un’e-mail dal tuo account? Sì, questo vuol dire semplicemente che ho accesso al tuo dispositivo. Ti sto osservando da un paio di mesi. Ti stai chiedendo come sia possibile? Bene, sei stato infettato da un malware proveniente da un sito per adulti che hai visitato. Forse non hai familiarità con questo genere di cose, ma cercherò di spiegartelo. Con l’aiuto del Virus Trojan, ho l’accesso completo a un PC o a qualsiasi altro dispositivo. Ciò significa semplicemente che posso guardarti sul tuo schermo in qualsiasi momento lo desideri attivando la videocamera e il microfono, senza che neanche te ne accorga. Inoltre, ho accesso all’elenco dei tuoi contatti e alla tua corrispondenza. Forse ti starai chiedendo, “Ma il mio PC ha l’antivirus in esecuzione, com’è possibile? Perché non ho ricevuto nessuna notifica?” Bene, la risposta è semplice: il mio malware usa i driver, di cui aggiorno le firme ogni quattro ore, rendendo il virus non identificabile e, di conseguenza, l’antivirus silenzioso. Ho un video di te.... Forse ti starai chiedendo, che cosa sarà mai? Con un semplice clic del mouse posso inviare questo video a tutte le tue reti social e ai tuoi contatti e-mail. Posso anche condividere l’accesso a tutta la tua corrispondenza e-mail e ai messenger che utilizzi.
Clicca per ingrandire l'immagine del tentativo di RICATTO VIA E-MAIL, che minaccia di inviare un video di te mentre guardi SITI x Adulti

Per evitare che tutto ciò accada, viene quindi richiesto di inviare 1270 USD in Bitcoin sul portafoglio di seguito indicato: "1E7XXXXXXXXXXXXXXXXXXXXXXXXXXSU5d". Dopo aver ricevuto la transazione tutti i dati veranno cancellati, altrimenti in caso contrario un video che ritrae l'utente, verrà mandato a tutti i colleghi, amici e parenti, il malcapitato ha 48 ore di tempo per effettuare il pagamento!

Analizzando i pagamenti effettuati sul wallet indicato dal cyber criminale "1E7XXXXXXXXXXXXXXXXXXXXXXXXXXSU5d" alla data del 02/12/2020, il wallet risulta vuoto.

In questi casi vi invitiamo a:
  1. non rispondere a questo genere di e-mail e a non aprire allegati o a cliccare righe contenenti link non sicuri, e certamente a NON inviare alcuna somma di denaro.
  2. Nel caso in cui il criminale dovesse riportare una password effettiva utilizzata dall'utente -la tecnica è quella di sfruttare le password provenienti da Leak (furto di dati compromessi) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.)- è consigliabile cambiarla e attivare l'autenticazione a due fattori su quel servizio.
Torna ad inizio pagina



23 Novembre ==> Smishing Intesa Sanpaolo


Analizziamo di seguito un nuovo tentativo di smishing che si cela dietro un falso sms giunto da Intesa Sanpaolo.

Clicca per ingrandire l'immagine del falso sms giusto da Intesa Sanpaolo che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso a suo conto corrente.
Il messaggio, che riportiamo di lato, segnala all'ignaro ricevente che è stato riscontrato un accesso anomalo al suo conto corrente aziendale e Lo invita a verificare cliccando sul link proposto e seguendo la procedura.

In prima battuta notiamo che l'alert, contraddistinto dal layout conciso ed essenziale, è generico; infatti, diversamente da quanto avviene nelle comunicazioni ufficiali di questo tipo, non viene menzionato alcun riferimento identificativo (nome e cognome per esempio) dell'intestatario del conto corrente di Intesa Sanpaolo ma il messaggio si rivolge ad un indefinito ''Gentile cliente''.
L'intento chiaramente è quello di portare l'utente a cliccare sul link:

https://is[.]gd/portalebusiness

Quest'ultimo tuttavia, già a colpo d'occhio, non corrisponde al sito ufficiale del noto istituto bancario, rimanda infatti ad una pagina che non ha nulla a che vedere con il sito ufficiale di Intesa Sanpaolo.
Analizziamola di seguito nel dettaglio.

Come possiamo vedere dall' immagine riportata sotto la pagina web in cui si viene dirottati dal link presente nell'sms simula discretamente il sito ufficiale di Intesa Sanpaolo e risulta impostata in modo ragionevolmente ingannevole per un utente inesperto, sia dal punto di vista grafico che testuale.

 
Per rassicurare l'utente sull'autenticità della pagina i cyber-criminali hanno avuto altresì l'accorgimento di inserire in calce al sito i reali riferimenti di Intesa Sanpaolo, tra cui la P.IVA.

Sebbene lo stesso FORM di autenticazione sembri ben fatto, richiedendo l'inserimento di codice titolare, PIN e numero di telefono vi invitiamo a prestare attenzione, in particolare, all'indirizzo url della pagina di accesso alla gestione dell'account.
Questa è infatti ospitata su un indirizzo/dominio che non ha nulla a che fare con Intesa Sanpaolo e che riportiamo di seguito:

https://one[-]time[-]password[-]retail[.]com

Inserendo i propri dati personali su questo FORM per effettuare l'accesso al conto corrente Intesa Sanpaolo, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

In conclusione vi invitiamo sempre a diffidare da qualunque form che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati di accesso al proprio conto corrente bancario, i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina


19 Novembre 2020 ==> Phishing Amazon: Vinci un buono di 500 €

Questo nuovo tentativo di Phishing proviene da un falso messaggio che allude ad una possibile vincita di un buono Amazon da 500 €.

Clicca per ingrandire l'immagine del FALSO messaggio di Amazon che propone la vincita di un buono del valore di 500 € ma che si tratta di una TRUFFA!!
''Ciao,
stiamo regalando buoni da 500 € gratis.
Sei stato selezionato come uno dei potenziali vincitori!
Questo buono ti sta aspettando!
Partecipa ora GRATUITAMENTE per vincere il tuo buono!
Speriamo che presto potrai fare acquisti online gratis!
Buon divertimento e buona fortuna!''

Questa meravigliosa possibile vincita giunge da un messaggio che si spaccia per il Servizio Clienti Amazon...Cerchiamo di fare attenzione soprattutto in questo periodo di difficoltà economica legata all'emergenzia epidemiologica COVID-19, in quanto i cybercriminali sfruttano questi momenti difficili per circuire le persone meno disincantate con questi specchietti per le allodole!

Innanzitutto notiamo che l'indirizzo email christabellhorstenq@icloud[.]com da dove giunge la mail sembra poco attendibile.. come anche la pagina di ''atterraggio'' che compare dopo aver cliccato sul link proposto nella mail
''La tua chance è ora''.

In calce mostriamo a tal proposito la pagina in cui viene offerta la possibilità di partecipare al concorso promozionale Amazon per ottenere come premio un buono da 500 €.
 Il ''fortunato'' deve semplicemente cliccare su ''Continua'' e rispondere a qualche domanda.  Tuttavia notiamo che la pagina ospitante il concorso è anomala, o quantomeno non riconducibile in nessun modo ad Amazon.   Viene precisato in più di un'occasione che la partecipazione è GRATUITA...Come riportato nel fondo il concorso sembra addirittura realizzato in conformità a quanto previsto dal DPR 430/2001 e per rendere il tutto ancora più credibile è stata inserita l'informativa sulla privacy con la richiesta al consenso al trattamento dei dati.
Clicca per ingrandire l'immagine del FALSO sito di Amazon che invita l'utente a giocare per poter vincere un buono da 500€,  ma che in realtà si tratta di una TRUFFA!
 
Clicca per ingrandire l'immagine del FALSO sito da cui sarebbe possibile tentare la vincita di un buono Amazon di 500€ dove, per rendere il tutto più credibile è stata inserita anche l'informativa sulla privacy e richiesto il consenso al trattamento dei dati.....

Riportiamo in calce la videata in cui viene richiesto l'inserimento di dati personali, in primis nome e cognome, seguiti da un'ulteriore videata in cui viene richiesta la data di nascita.   Il tutto si conclude con un'ulteriore videata in cui viene richiesto l'inserimento dell'indirizzo email allo scopo di inviare un mail di conferma per poi presumibilmente far proseguire l'utente al concorso, chiaramente FALSO...
Clicca per ingrandire l'immagine del FALSO sito di Amazon che invita l'utente a giocare per poter vincere un buono da 500€,  ma che in realtà si tratta di una TRUFFA!
 
Clicca per ingrandire l'immagine del FALSO sito di Amazon che invita l'utente a giocare per poter vincere un buono da 500€,  ma che in realtà si tratta di una TRUFFA!

Resta di fatto che la pagina dal quale sembrerebbe possibile partecipare al concorso è ospitata su un indirizzo/dominio che non ha nulla a che fare con  Amazon e che riportiamo di seguito:

https://iltuoconcorso[.]com....


In conclusione vi invitiamo sempre a diffidare da qualunque form che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina


14 Novembre 2020 ==> Phishing Lotteria USA

«OGGETTO: < Ref N0: LOT/19668/US >

Ecco un altro tentativo di phishing che giunge da una falsa comunicazione da parte della Lottery USA

Clicca per ingrandire l'immagine della falsa e-mail di una presunta vincita della Lotteria USA,  ma che in realtà è una TRUFFA!
II messaggio, in lingua inglese, informa il ricevente che è stato estratto come vincitore della Lotteria USA "Il tuo indirizzo e-mail allegato al lotto N0: KK6 / 0058 con numero di serie: 06/108955" ha estratto dei numeri vincenti nella categoria "B". La fantomatica somma vinta è di $ 213.000 (duecentotredicimila USD). Invita quindi il fortunato vicnitore a contattare l'agente di riferimento, i cui dati sono riportati di seguito:

Name: Lorena Edgar
Claims processing agent
For: Lottery USA

Viene quindi richiesto al vincitore di fornire le proprie informazioni personali:

Nome:
Numero di telefono / fax:

Città e Paese:
Età:
Occupazione:
Numero di riferimento (indicato sopra)


Chiaramente chiunque darebbe i propri dati se avesse la possibilità di vicnire una somma di $ 213.000... l'obbiettivo dei cyber-criminali resta senz'altro quello di impossesarsi dei Vostri dati per poterli utilizzare a scopi criminali...

Torna ad inizio pagina



13 Novembre 2020 ==> Phishing Aruba "Controlla lo stato del tuo account!"

«OGGETTO: < Messaggi in arrivo in sospeso >

Ecco un altro tentativo di phishing che giunge sempre da una falsa comunicazione da parte di Aruba.

Clicca per ingrandire l'immagine della falsa e-mail di Aruba che comunica che ci sono dei messaggi in arrivo in sospeso e come recuperarli per non perderli,  ma che in realtà è una TRUFFA!
II messaggio informa il ricevente che ci sono delle email ospitate nei server di Aruba in arrivo e che sono state messe in attesa per evitare di perdere messaggi importanti. Per ricevere le email è necessario ridurre le dimensioni della cassetta postale. Invita quindi l'utente arecuperare i messaggi in sospeso cliccando sul seguente link:

Clicca qui

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente non ha nulla a che vedere con il dominio ufficiale di Aruba, ma che anzi proviene da un dominio utlizzato come etichetta dai cybercrimianli per ingannare il malcapitato. L'ignaro malcapitato che dovesse cliccare sul seguente link:

Clicca qui

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di Aruba, ma che è già stata segnalata come pagina /SITO INGANNEVOLE... in quanto gestita da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..

Torna ad inizio pagina

12 Novembre 2020 ==> Phishing AMAZON

«OGGETTO: <Processing of your product listings on Amazon is complete.>

Il seguente tentativo di phishing giunge da una falsa comunicazione da parte di AMAZON.

Clicca per ingrandire l'immagine della falsa e-mail di AMAZON che cerca di rubare le credenziali di acesso dell'account.
II messaggio, in lingua inglese, informa il ricevente che il file relativo ai suoi ordini (Batch ID 58047018567) caricato il 12/11/2020 è stato elaborato. Invita quindi l'utente a scaricare il file allegato relativo al rapporto completo sull'elaborazione dei suoi ordini. Nel file sono evidenziati gli errori e gli avvisi che sono stati riscontrati durante l'elaborazione del modello è quindi necessario prendere vision del file e correggere gli errori segnalati, entro le prossime 48 ore, altrimenti il tuo account AMAZON verrà sospeso. Quindi invita l'utente a scaricare il seguente file allegato:

Raport_58047018567.html

Chiaramente la nota azienda di commercio AMAZON  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che non è presente alcun riferimento identificativo che possa ricondurci all'azienda AMAZON, quali sede legale, partita IVA o eventuali recapiti telefonici. Il messaggio oltretutto non è firmato.
Attenzione però all'indirizzo email del mittente <amazon-services(at)amazon(dot)com> che non proviene dal dominio reale di AMAZON.

L'ignaro destinatario che, malauguratamente, dovesse scaricare l'allegato:

Raport_58047018567.html

verrà rimandato su un pagina temporanea che come si può vedere dall'immagine di lato, gli viene richiesto di inserire le credenziali di accesso all'account AMAZON.
La pagina ospitata su un indirizzo/dominio che non ha nulla a che fare con  AMAZON e che riportiamo di seguito:

file...AppData/Local/Microsoft/Windows/Temporary Internet Files...
L'intento è quello di portare il ricevente a cliccare sul link con l'intento di rubare le vostre credenziali che veranno utilizzate molto probabilmente per scopi criminali.
 
Torna ad inizio pagina

11 Novembre 2020 ==> Phishing Nexi

OGGETTO: <Informa>

Questo nuovo tentativo di phishing si spaccia per una falsa comunicazione di Nexi.

Clicca per ingrandire l'immagine della falsa e-mail di NEXI che cerca di rubare i codici della carta di credito dell'ignaro ricevente.
Il messaggio segnala al ricevente che il suo account Nexi è stato congelato perchè stanno effettuando delle azioni di monitoraggio per prevenire utilizzi fraudolenti, pertanto la sua carta è stata bloccata temporaneamente. Invita quindi il destinatario ad aggiornare le proprie informazioni per mantenere attiva la carta. Per aggiornare i dati è necessario seguire le istruzioni dal seguente link:

http://www.Nexi.it//gtwpages/common/index.jsp?id=GmTgwbevGi

In prima battuta notiamo che il testo dell'email è molto generico in quanto non contiene nessun riferimento all'intestatario della carta, ma vengono indicati in calce dei presunti dati identificativi di Nexi "P. IVA 04107060966 - © 2020 Nexi S.p.A.". La mail di alert giunge da un indirizzo email <app(at)clima(dot)jp> che, non proviene dal dominio ufficiale di Nexi .

Chi dovesse malauguratamente cliccare sul link:

http://www.Nexi.it//gtwpages/common/index.jsp?id=GmTgwbevGi

verrà indirizzato su una pagina WEB malevola, che non ha nulla a che vedere con la pagina ufficiale di Nexi,  ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..

Torna ad inizio pagina

09 Novembre 2020 ==> Phishing Webmail

«OGGETTO: <Important Notification : 6 New pending emails>

Questo tentativo di phishing ha l'obiettivo di rubare la password di accesso alla casella di posta elettronica.

Clicca per ingrandire l'immagine della falsa e-mail dell'amministratore dell'account di posta elettronica, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso all'account.
Il messaggio, in linqua inglese, informa l'utente che ha 6 messaggi pendenti che non risultano essere stati recapitati il giorno 09/11/2020, a causa di un aggiornamento del suo account di posta elettronica. Lo invita quindi ad effettuare il login e a validare la password, dopo 3 tentativi falliti il suo account verrà bloccato. Per aggiornare le informazioni procedere attraverso il seguente link:

Click here to retrieve pending messages to inbox

Analizzando la mail notiamo che il messaggio, contraddistinto dal layout testuale conciso ed essenziale, proviene da un indirizzo email che non sembra attendibile <sales(at)biz-email(dot)info>.

Chi dovesse malauguratamente cliccare sul link
Click here to retrieve pending messages to inbox verrà dirottato su una pagina WEB che non ha nulla a che vedere con il server della casella di posta elettronica,  ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..
 
Torna ad inizio pagina


08 Novembre 2020 ==> Phishing Apple

«OGGETTO: <Support>

Ecco un nuovo tentativo di phishing che si spaccia per una finta e-mail da parte di Apple.

Clicca per ingrandire l'immagine della falsa e-mail di APPLE, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso di Apple ID.
Il messaggio, estremamente conciso, avverte il ricevente che il suo Apple ID è stato utilizzato per effettuare un tentativo dfi accesso a iCloud da un altro browser il giorno 08 novembre 2020.  Quindi invita il destinatario a verificare le informazioni inserite nel suo Apple ID nel caso in cui non riconosca il tentativo di accesso segnalato, cliccando sul link ''Il tuo ID Apple'' per approfondire.
Lo scopo è quello di indurre, con l'inganno, l'ignaro destinatario ad inserire le credenziali di accesso di Apple ID in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica.

La mail di alert giunge da un indirizzo email <app(at)after(dot)jp> che, non proviene dal dominio ufficiale di Apple. I cyber-criminali ideatori della truffa hanno avuto tuttavia l'accorgimento grafico di inserire nel corpo della mail il noto logo di Apple oltre a dei presunti dati identificativi di Apple in calce alla mail, tutto questo per rassicurare l'utente sull'autenticità della mail: "Copyright © 2020 One Apple Park Way, Cupertino, CA 95014, United States‎Tutti i diritti riservati."

Come possiamo vedere dall' immagine riportata sotto la pagina web in cui si viene dirottati clcicando sul link:

Il tuo ID Apple

simula discretamente il sito ufficiale di Apple ID e risulta impostata in modo ragionevolmente ingannevole per un utente inesperto, sia dal punto di vista grafico che testuale.
Sebbene lo stesso FORM di autenticazione sembri ben fatto, richiedendo l'inserimento dell'ID Apple e la Password, Vi invitiamo a prestare attenzione, in particolare, all'indirizzo url della pagina di accesso alla gestione dell'account.
Questa è infatti ospitata su un indirizzo/dominio che non ha nulla a che fare con Apple ID e che riportiamo di seguito:

https://zanella[.]com[.]ar/Puy/IT/Login...
L'intento è quello di portare il ricevente a cliccare sul link Il tuo ID Apple che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con il sito di Apple ma che è già stata segnalata come pagina /SITO INGANNEVOLE in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
Torna ad inizio pagina



08 Novembre 2020 ==> Phishing Aruba "Controlla lo stato del tuo account!"

«OGGETTO: < Aruba.it: controlla lo stato del tuo account! >

Ecco un altro tentativo di phishing che giunge sempre da una falsa comunicazione da parte di Aruba.

Clicca per ingrandire l'immagine della falsa e-mail di Aruba che comunica un problema di fatturazione ma in realtà è una TRUFFA!
II messaggio informa il ricevente che il suo dominio ospitato su Aruba è in scadenza il giorno 08/11/2020 e che se non verrà rinnovato entro tale data, tutti i servizi ad esso asociati, comprese le caselle di posta elettronica, non potranno essere utilizzati. Invita quindi l'utente a procedere al rinnovo effettuando il pagamento online, inserendo la login e la password eld proprio account, attraverso il seguente link:

Clicca qui

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <serviziowww-data51035960webserv(at)sogesangic(dot)com> non proviene dal dominio ufficiale di Aruba. Inoltre il messaggio informa l'utente della possibilità di attivare il rinnovo automatico del suo dominio, dalla propria Area Clienti in autonomia, dal seguente link:

Clicca qui

L'ignaro destinatario che, malauguratamente, dovesse premere sui link indicati, verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di Aruba, ma che è già stata segnalata come pagina /SITO INGANNEVOLE... in quanto gestita da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..

Torna ad inizio pagina


4 Novembre ==> Smishing Intesa Sanpaolo


Questo nuovo tentativo di smishing di cela dietro un falso sms giunto da Intesa Sanpaolo.

Clicca per ingrandire l'immagine del falso sms giusto da Intesa Sanpaolo che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso a suo conto corrente.
Il messaggio, che riportiamo di lato, segnala all'ignaro ricevente che è stato riscontrato un accesso anomalo al suo conto corrente aziendale e Lo invita a verificare cliccando sul link proposto e seguendo la procedura.

In prima battuta notiamo che l'alert, contraddistinto dal layout conciso ed essenziale, è generico; infatti, diversamente da quanto avviene nelle comunicazioni ufficiali di questo tipo, non viene menzionato alcun riferimento identificativo (nome e cognome per esempio) dell'intestatario del conto corrente di Intesa Sanpaolo ma il messaggio si rivolge ad un indefinito ''Gentile cliente''.
L'intento chiaramente è quello di portare l'utente a cliccare sul link:

https://is[.]gd/otpweb

Quest'ultimo tuttavia, già a colpo d'occhio, non corrisponde al sito ufficiale del noto istituto bancario, rimanda infatti ad una pagina che non ha nulla a che vedere con il sito ufficiale di Intesa Sanpaolo.
Analizziamola di seguito nel dettaglio.

Come possiamo vedere dall' immagine riportata sotto la pagina web in cui si viene dirottati dal link presente nell'sms simula discretamente il sito ufficiale di Intesa Sanpaolo e risulta impostata in modo ragionevolmente ingannevole per un utente inesperto, sia dal punto di vista grafico che testuale.

 
Per rassicurare l'utente sull'autenticità della pagina i cyber-criminali hanno avuto altresì l'accorgimento di inserire in calce al sito i reali riferimenti di Intesa Sanpaolo, in particolare la P.IVA e addirittura un numero di telefono per usufruire dell'assistenza clienti.

Sebbene lo stesso FORM di autenticazione sembri ben fatto, richiedendo l'inserimento di codice titolare, PIN e numero di telefono vi invitiamo a prestare attenzione, in particolare, all'indirizzo url della pagina di accesso alla gestione dell'account.
Questa è infatti ospitata su un indirizzo/dominio che non ha nulla a che fare con Intesa Sanpaolo e che riportiamo di seguito:

app-isp[.]com


Inserendo i propri dati personali su questo FORM per effettuare l'accesso al conto corrente Intesa Sanpaolo, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

In conclusione vi invitiamo sempre a diffidare da qualunque form che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati di accesso al proprio conto corrente bancario, i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Torna ad inizio pagina


02 Novembre 2020 ==> SexTortion: "Waiting for the payment"

Questo mese ritorna il tentativo di SCAM, di cui vi riportiamo di seguito il testo, in lingua inglese, che minaccia l'utente di divulgare un suo video privato mentre guarda siti per adulti, e gli propone un'offerta per non divulgare il video tra i suoi contatti mail e social invitandolo a pagare una somma di denaro sottoforma di Bitcoin.
Questa volta il cyber crimianle sostiene di aver rubato la nostra password alla casella di posta elettronica e infatti viene riportata anche nel messaggio.

"Ho delle brutte notizie per te. Due mesi fa ho ricevuto l'accesso a tutti i dispositivi elettronici che utilizzi per navigare in Internet. Se non credi che abbia davvero accesso alla tua casella di posta elettronica, ecco alcune prove convincenti. La tua password nel momento in cui questa email è stata violata: *****.
Ho creato un falso sito web del tuo servizio di posta elettronica (*******) e ti ho inviato un invito per l'autorizzazione. Hai inserito la tua email e la password attuale. È così che ho ottenuto le tue credenziali di accesso... Dopodiché sono riuscito a installare facilmente Trojan Horse sul sistema operativo del tuo dispositivo.... Allo stesso modo, ho salvato tutti i tuoi dati, foto, video, credenziali di social network, chat e contatti. Questo software dannoso viene aggiornato regolarmente, pertanto è quasi impossibile rilevarlo da vari servizi e amministratori di sistema. Recentemente, ho scoperto che ti piace guardare "film hardcore molto specifici". Penso che tu sappia cosa intendo ... Siate certi che posso inviare facilmente questo interessante video a tutti i vostri contatti, amici, parenti o semplicemente pubblicarlo sul web con un solo clic del mouse. Non credo che ti piacerebbe che accadesse...."
Clicca per ingrandire l'immagine del tentativo di RICATTO VIA E-MAIL, che minaccia di inviare un video di te mentre guardi SITI x Adulti

Per evitare che tutto ciò accada, viene quindi richiesto di inviare 1450 USD in Bitcoin sul portafoglio di seguito indicato: "XXXXXXXXXXXXXCo5kXXXXXXXXXXXXXX". Dopo aver ricevuto la transazione tutti i dati veranno cancellati, altrimenti in caso contrario un video che ritrae l'utente, verrà mandato a tutti i colleghi, amici e parenti, il malcapitato ha 48 ore di tempo per effettuare il pagamento!

Analizzando i pagamenti effettuati sul wallet indicato dal cyber criminale "XXXXXXXXXXXXXCo5kXXXXXXXXXXXXXX" alla data del 05/11/2020, il wallet risulta vuoto.

In questi casi vi invitiamo a:
  1. non rispondere a questo genere di e-mail e a non aprire allegati o a cliccare righe contenenti link non sicuri, e certamente a NON inviare alcuna somma di denaro.
  2. Nel caso in cui il criminale dovesse riportare una password effettiva utilizzata dall'utente -la tecnica è quella di sfruttare le password provenienti da Leak (furto di dati compromessi) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.)- è consigliabile cambiarla e attivare l'autenticazione a due fattori su quel servizio.

Come proteggere i tuoi dati dai tentativi di truffa informatica...

Quello che Vi consigliamo di fare è di cambiare tempestivamente la password di accesso alla posta elettronica, infatti in questi casi il cybercrimanle sostiene di conoscere la Vostra password e in alcuni esempi la password viene riportata nel corpo del messaggio, e se la stessa password viene utilizzata per accedere ad altri account è consigliabile modificarla su tutti gli account in cui è stat utilizzata.
Fate quindi attenzione a non utilizzare le stesse password quando vi iscrivete a diversi tipi di siti/servizi web, in particolare usate password diverse per i servizi sensibili (come l'homebanking, la posta elettronica...), in quanto rischiate di fornire la vostra password su siti poco affidabili che verrebbero facilmente utilizzati per scopi criminali. Sarebbe buona norma quindi differenziare le password usate per ogni sito/servizio web e modificarle sistematicamente.

Se sospetti di essere venuto in contatto con virus, spyware, ransomware o più in generale malware di nuova generazione, come anche mail di potenziale malspam, phishing, e volete analizzare lo stato di compromissione dei Vostri PC, potete inviare gratuitamente il materiale da analizzare al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft attraverso il seguente link => https://www.tgsoft.it/italy/file_sospetti.asp
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina



Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:

06/10/2020 12:48:02 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2020...
01/09/2020 11:37:02 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2020...

05/08/2020 10:29:13 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2020...
06/07/2020 09:04:51 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2020...
04/06/2020 15:36:59 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giungo 2020...
07/05/2020 11:06:28 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2020...
02/04/2020 17:43:33 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di aprile 2020...
04/03/2020 18:28:59 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2020...
06/02/2020 09:41:52 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2020...
10/01/2020 12:30:40 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2020...
11/12/2019 15:11:51 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2019...
11/11/2019 10:22:45 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2019...




Prova Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
 

VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM

VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
 

TG Soft rende disponibile gratuitamente VirIT Mobile Security accedendo al market di Google Play Store (https://play.google.com/store/apps/details?id=it.tgsoft.virit) dal quale è possibile prelevare la versione Lite, liberamente utilizzabile sia in ambito privato che aziendale.

E’ possibile eseguire il passaggio alla versione PRO, acquistandolo direttamente dal nostro sito https://www.tgsoft.it/italy/ordine_step_1.asp

 VirIT Mobile Security l'Antimalware di TG Soft per Android(TM)

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.


Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (https://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Per maggiori approfondimenti su come inoltrare in sicurezza e-mail sospette vi invitiamo a consultare la seguente pagina pubblica: Come inviare e-mail sospette per l'analisi

Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.


C.R.A.M. Centro Ricerche Anti-Malware
 di TG Soft


 
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: