INDICE dei PHISHING
Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di
maggio 2022:
24/05/2022 =>
Aruba
18/05/2022 =>
DHL
17/05/2022 =>
cPanel
12/05/2022 =>
Aruba - Un nuovo file condiviso
10/05/2022 =>
Aruba - Caratteristiche di sicurezza dell'accounts
01/05/2022 =>
Smishing GreenPass
Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.
24 Maggio 2022 ==> Phishing Aruba
«OGGETTO: <Ci sono (2) messaggi non consegnati, per favore risolvi !>
Ritroviamo un altro tentativo di phishing che ha l'obiettivo di rubare la casella di posta elettronica del malcapitato
, giunge da una falsa comunicazione da parte di
Aruba.
Il messaggio notifica all'utente che ci sono 2 messaggi non recapitati e che non possono essere recapitati alla casella di posta elettronica.
In allegato viene inviato un documento .pdf che sembrerebbe contenere i messaggi non recapitati. Quindi invita l'utente ad aprire il file allegato:
Guarda i messaggi.pdf
Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio di
Aruba <Michael(dot)thiemann(at)mytng(dot)de>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.
Chi dovesse cliccare sull'allegato
Guarda i messaggi.pdf gli verranno date le istruzioni per recuperare i messaggi in sospeso.
Dall'immagine di lato notiamo che viene richiesto di recuperare il messaggio in sospeso in modo tempestivo o di recuperare i messaggi entro 72 ore, attraverso il seguente link:
Clicca qui per recuperare il messaggio
Inserendo i propri dati sulla pagina /SITO INGANNEVOLE che è già stata segnalata, per effettuare l'accesso, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
18 maggio 2022 ==> Phishing DHL
«OGGETTO: <
Your package CH497586134 is waiting for delivery.>
Analizziamo di seguito un attacco di phishing che utilizza una falsa comunicazione proveniente dall'azienda
DHL.
Come nella maggior parte delle campagne di phishing la vittima viene contattata tramite un falso messaggio proveniente apparentemente da
DHL.
In questo caso la mail è in lingua inglese e invita il destinatario a confermare il pagamento (1.99 CHF) per completare la consegna del suo pacco CH497586134. La conferma online deve essere effettuata entro i successivi 14 giorni, prima della scadenza.
Viene quindi richiesto di cliccare sul seguente link per procedere al pagamento richiesto per la consegna:
CH497586134
Ad una prima analisi notiamo fin da subito che il messaggio proviene da un indirizzo email che non sembra per nulla riconducibile a DHL <<server1(at)smp(dot)com(dot)sg>> ed inoltre il messaggio è molto generico e non contiene alcun riferimento nè del destinatario, nè della spedizione in oggetto, di cui si richiede il pagamento di una piccola somma, al fine di rubare dati sensibili.
L'ignaro destinatario che, malauguratamente, dovesse cliccare sul linko:
CH497586134
verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di DHL, ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali....
17 Maggio 2022 ==> Phishing cPanel
«OGGETTO: <
You have (1) new document file shared with you via cPanel iCloud.>
Di seguito analizziamo un nuovo tentativo di phishing che giunge da una falsa comunicazione da parte di
cPanel ossia pannello di controllo grafico per la gestione e l'amministrazione di siti internet e web hosting.
II messaggio, in lingua inglese, notifica all'utente che è stato condiviso un documento tramite cPanel iCloud sharepoint. Quindi invita l'utente a cliccare sul documento allegato per visualizzare il file:
View Shared File
Chiaramente l'azienda di gestione e amministrazione di siti internet e web hosting
cPanel è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente
<heinz(dot)schulze(at)mytng(dot)de> è anomalo e non proviene dal dominio ufficiale di
cPanel.
Chi dovesse cliccare sull'allegato
View Shared File gli verrà richiesto di accedere all'account di cPanel per visualizzare il file allegato.
Dall'immagine di lato notiamo che viene richiesto di inserire la proprio login e password di accesso all'account di cPanel, cliccando sul seguente link:
Access Document
Inserendo i propri dati sulla pagina /SITO INGANNEVOLE che è già stata segnalata, per effettuare l'accesso, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
12 Maggio 2022 ==> Phishing Account di Posta elettronica
«OGGETTO: <Un nuovo file di documento condiviso con te tramite Aruba iCloud>
Ritroviamo un altro tentativo di phishing che ha l'obiettivo di rubare la casella di posta elettronica del malcapitato
, che giunge da una falsa comunicazione da parte di
Aruba.
Il messaggio notifica all'utente che è stato condiviso un documento tramite Aruba iCloud SharePoint.
Clicca sul documento allegato per visualizzare il file. Quindi invita l'utente ad aprire il file allegato:
Visualizza file condiviso.pdf
Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile a qualche gestore di posta elettronica
<heinz(dot)schulze(at)mytng(dot)de>, e non sembra chiaramente provenire dal dominio del destinatario. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.
Chi dovesse malauguratamente cliccare sul link
Visualizza file condiviso.pdf verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali....
10 Maggio 2022 ==> Phishing Account di Posta elettronica
«OGGETTO: <Caratteristiche di sicurezza dell'accounts>
Anche questo mese ritroviamo il seguente tentativo di phishing che ha l'obiettivo di rubare la casella di posta elettronica del malcapitato.
Il messaggio notifica all'utente che è stato riscontrato un errore nel servizio web e che alcune mail in arrivo sono state messe in attesa dal sistema del server Aruba. Quindi invita l'utente a resettare l'account per evitare restrizioni permanenti attraverso il seguente link:
Clicca per convalidare
Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile a qualche gestore di posta elettronica
<support(at)sominetworks(dot)it>, e non sembra chiaramente provenire dal dominio del destinatario. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.
Chi dovesse malauguratamente cliccare sul link
Clicca per convalidare verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali....
01 Maggio ==> Smishing GreenPass
Il mese di maggio si apre con un nuovo tentativo di smishing a tema Green Pass.
La truffa giunge attraverso un sms che sembra apparentemente provenire dal Ministero della Salute e che informa l’utente della revoca della sua certificazione Covid-19.
Testualmente l’sms riporta quanto segue:
''La sua Certificazione Covid-19 è stata revocata.
Visiti www[.]certrevocata19[.]byethost5[.]com per riattivarla subito.''
L’sms contraffatto usa come esca l’attualissimo Green Pass con l’obiettivo di carpire i dati personali del destinatario, che, allarmato dall’sms ricevuto al fine di riattivare quanto prima la Sua Certificazione Covid-19 potrebbe essere spinto a cliccare frettolosamente e malauguratamente sul link segnalato.
E’ chiaro che, ragionando sul messaggio ricevuto e usando un pò di buon senso, si può facilmente dedurre che la revoca del Green Pass non sia così facilmente applicabile, poiché questa viene generata a seguito di un tampone molecolare positivo, e viene annullata a seguito del primo tampone antigenico rapido o molecolare negatico, entro 24 ore dall’esito, di certo non è una procedura semplicemente ‘’manuale’’ che prevede il banale inserimento dei propri dati personali su un form di autenticazione.
Oltretutto il link segnalato
www[.]certrevocata19[.]byethost5[.]com
è decisamente sospetto e non sembra riconducibile per nulla al Ministero della Salute.
Ad ogni buon conto, procedendo alla simulazione e cliccando quindi sul link proposto veniamo dirottati su un modulo di richiesta come mostrato nelle immagini di lato.
In prima battuta il form richiede all’utente l'inserimento di nome e cognome come dati identificativi. Nonostante la presenza del logo del Ministero della Salute la pagina web è ospitata su tutt’altro dominio.
Per completare la richiesta di riattivazione tuttavia sembrerebbe necessario allegare, oltre al proprio documento d’identità anche una foto del viso… richiesta decisamente dubbia.
In conclusione vi ricordiamo che nessuna autorità pubblica e istituzionale richiede dati personali attraverso l'invio di sms o email.
Segnaliamo altresì che queste campagna di phishing/smishing, in quanto vere e proprie truffe che hanno l'obiettivo di rubare i vostri dati sensibili, sono già state prontamente segnalate dalle autorità competenti nei loro siti e nei relativi canali social ufficiali, che vi invitiamo a consultare.
Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...
Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
06/04/2022 16:51 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di aprile 2022...
08/03/2022 17:08 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2022..
03/02/2022 16:25 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2022...
04/01/2022 09:13 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2022...
03/12/2021 15:57 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2021...
04/11/2021 09:33 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2021...
07/10/2021 14:38 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2021...
10/09/2021 15:58 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2021...
05/08/2021 18:09 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2021...
01/07/2021 15:58 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2021...
07/06/2021 16:44 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giungo 2021...
12/05/2021 12:38 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2021...
Prova Vir.IT eXplorer Lite
Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.
Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
- liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
- interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
- identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
- grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
- Procedi al download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM
VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
TG Soft rende disponibile gratuitamente VirIT Mobile Security accedendo al market di Google Play Store (https://play.google.com/store/apps/details?id=it.tgsoft.virit) dal quale è possibile prelevare la versione Lite, liberamente utilizzabile sia in ambito privato che aziendale.
E’ possibile eseguire il passaggio alla versione PRO, acquistandolo direttamente dal nostro sito https://www.tgsoft.it/italy/ordine_step_1.asp
Ringraziamenti
Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.
Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware
L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
- qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
- salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti. Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Per maggiori approfondimenti su come inoltrare in sicurezza e-mail sospette vi invitiamo a consultare la seguente pagina pubblica: Come inviare e-mail sospette per l'analisi
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft