02/05/2022
11:06

Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di MAGGIO 2022...


Scoprite quali siano i tentativi di phishing piu' comuni che potreste incontrare e, con un po' di colpo d'occhio, anche evitare...

INDICE dei PHISHING

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di maggio 2022:

24/05/2022 => Aruba
18/05/2022 => DHL
17/05/2022 => cPanel
12/05/2022 => Aruba - Un nuovo file condiviso
10/05/2022 => Aruba - Caratteristiche di sicurezza dell'accounts
01/05/2022 => Smishing GreenPass

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

24 Maggio 2022 ==> Phishing Aruba

«OGGETTO: <Ci sono (2) messaggi non consegnati, per favore risolvi !>

Ritroviamo un altro tentativo di phishing che ha l'obiettivo di rubare la casella di posta elettronica del malcapitato, giunge da una falsa comunicazione da parte di Aruba.
Clicca per ingrandire l'immagine della falsa e-mail dell'amministratore dell'account di posta elettronica, che cerca di indurre il ricevente a cliccare sull'allegato per rubare le credenziali di accesso all'account.
Il messaggio notifica all'utente che ci sono 2 messaggi non recapitati e che non possono essere recapitati alla casella di posta elettronica.
In allegato viene inviato un documento .pdf che sembrerebbe contenere i messaggi non recapitati. Quindi invita l'utente ad aprire il file allegato:

Guarda i messaggi.pdf

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio di Aruba  <Michael(dot)thiemann(at)mytng(dot)de>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse cliccare sull'allegato Guarda i messaggi.pdf gli verranno date le istruzioni per recuperare i messaggi in sospeso.
 
Clicca per ingrandire l'immagine del falso sito web di Aruba, che simula la login di accesso all'account di posta elettronica, per rubare le credenziali di accesso..
Dall'immagine di lato notiamo che viene richiesto di recuperare il messaggio in sospeso in modo tempestivo o di recuperare i messaggi entro 72 ore, attraverso il seguente link:

Clicca qui per recuperare il messaggio

Inserendo i propri dati sulla pagina /SITO INGANNEVOLE che è già stata segnalata, per effettuare l'accesso, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.


18 maggio 2022 ==> Phishing DHL

«OGGETTO: <Your package CH497586134 is waiting for delivery.>

Clicca per ingrandire l'immagine della falsa e-mail di DHL, che cerca di indurre il ricevente a cliccare sui link per rubare la password della sua casella di posta elettronica.
Analizziamo di seguito un attacco di phishing che utilizza una falsa comunicazione proveniente dall'azienda DHL.
Come nella maggior parte delle campagne di phishing la vittima viene contattata tramite un falso messaggio proveniente apparentemente da DHL.
In questo caso la mail è in lingua inglese e invita il destinatario a confermare il pagamento (1.99 CHF) per completare la consegna del suo pacco CH497586134. La conferma online deve essere effettuata entro i successivi 14 giorni, prima della scadenza.
Viene quindi richiesto di cliccare sul seguente link per procedere al pagamento richiesto per la consegna:

CH497586134

Ad una prima analisi notiamo fin da subito che il messaggio proviene da un indirizzo email che non sembra per nulla riconducibile a DHL <<server1(at)smp(dot)com(dot)sg>> ed inoltre il messaggio è molto generico e non contiene alcun riferimento nè del destinatario, nè della spedizione in oggetto, di cui si richiede il pagamento di una piccola somma, al fine di rubare dati sensibili.

L'ignaro destinatario che, malauguratamente, dovesse cliccare sul linko:

CH497586134

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di DHL, ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.... 


17 Maggio 2022 ==> Phishing cPanel

«OGGETTO: <You have (1) new document file shared with you via cPanel iCloud.>

Di seguito analizziamo un nuovo tentativo di phishing che giunge da una falsa comunicazione da parte di cPanel ossia pannello di controllo grafico per la gestione e l'amministrazione di siti internet e web hosting.

Clicca per ingrandire l'immagine della falsa e-mail di cPanel checerca di rubare le credenziali dell'account di posta elettronica.
II messaggio, in lingua inglese, notifica all'utente che è stato condiviso un documento tramite cPanel iCloud sharepoint. Quindi invita l'utente a cliccare sul documento allegato per visualizzare il file:

View Shared File

Chiaramente l'azienda di gestione e amministrazione di siti internet e web hosting cPanel  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <heinz(dot)schulze(at)mytng(dot)de> è anomalo e non proviene dal dominio ufficiale di cPanel.

Chi dovesse cliccare sull'allegato View Shared File gli verrà richiesto di accedere all'account di cPanel per visualizzare il file allegato.
 
Clicca per ingrandire l'immagine del falso sito web di Aruba, che simula la login di accesso all'account di posta elettronica, per rubare le credenziali di accesso..
Dall'immagine di lato notiamo che viene richiesto di inserire la proprio login e password di accesso all'account di cPanel, cliccando sul seguente link:

Access Document

Inserendo i propri dati sulla pagina /SITO INGANNEVOLE che è già stata segnalata, per effettuare l'accesso, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.


12 Maggio 2022 ==> Phishing Account di Posta elettronica

«OGGETTO: <Un nuovo file di documento condiviso con te tramite Aruba iCloud>

Ritroviamo un altro tentativo di phishing che ha l'obiettivo di rubare la casella di posta elettronica del malcapitato, che giunge da una falsa comunicazione da parte di Aruba.
Clicca per ingrandire l'immagine della falsa e-mail dell'amministratore dell'account di posta elettronica, che cerca di indurre il ricevente a cliccare sull'allegato per rubare le credenziali di accesso all'account.
Il messaggio notifica all'utente che è stato condiviso un documento tramite Aruba iCloud SharePoint.
Clicca sul documento allegato per visualizzare il file. Quindi invita l'utente ad aprire il file allegato:

Visualizza file condiviso.pdf

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile a qualche gestore di posta elettronica <heinz(dot)schulze(at)mytng(dot)de>, e non sembra chiaramente provenire dal dominio del destinatario. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Visualizza file condiviso.pdf  verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali....



10 Maggio 2022 ==> Phishing Account di Posta elettronica

«OGGETTO: <Caratteristiche di sicurezza dell'accounts>

Anche questo mese ritroviamo il seguente tentativo di phishing che ha l'obiettivo di rubare la casella di posta elettronica del malcapitato.

Clicca per ingrandire l'immagine della falsa e-mail dell'amministratore dell'account di posta elettronica, che cerca di indurre il ricevente a cliccare sui link per rubare le credenziali di accesso all'account.
Il messaggio notifica all'utente che è stato riscontrato un errore nel servizio web e che alcune mail in arrivo sono state messe in attesa dal sistema del server Aruba. Quindi invita l'utente a resettare l'account per evitare restrizioni permanenti attraverso il seguente link:

Clicca per convalidare

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile a qualche gestore di posta elettronica <support(at)sominetworks(dot)it>, e non sembra chiaramente provenire dal dominio del destinatario. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Clicca per convalidare verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali....


01 Maggio ==> Smishing GreenPass

Il mese di maggio si apre con un nuovo tentativo di smishing a tema Green Pass.

Clicca per ingrandire l'immagine della nuova campagna di smishing a tema GreenPass...
La truffa giunge attraverso un sms che sembra apparentemente provenire dal Ministero della Salute e che informa l’utente della revoca della sua certificazione Covid-19.
Testualmente l’sms riporta quanto segue:
''La sua Certificazione Covid-19 è stata revocata.
Visiti www[.]certrevocata19[.]byethost5[.]com per riattivarla subito.''


L’sms contraffatto usa come esca l’attualissimo Green Pass con l’obiettivo di carpire i dati personali del destinatario, che, allarmato dall’sms ricevuto al fine di riattivare quanto prima la Sua Certificazione Covid-19 potrebbe essere spinto a cliccare frettolosamente e malauguratamente sul link segnalato.
E’ chiaro che, ragionando sul messaggio ricevuto e usando un pò di buon senso, si può facilmente dedurre che la revoca del Green Pass non sia così facilmente applicabile, poiché questa viene generata a seguito di un tampone molecolare positivo, e viene annullata a seguito del primo tampone antigenico rapido o molecolare negatico, entro 24 ore dall’esito, di certo non è una procedura semplicemente ‘’manuale’’ che prevede il banale inserimento dei propri dati personali su un form di autenticazione.
Oltretutto il link segnalato

www[.]certrevocata19[.]byethost5[.]com

è decisamente sospetto e non sembra riconducibile per nulla al Ministero della Salute.
 
Clicca per ingrandire l'immagine del form di autenticazione dove vengono richiesti dati sensibili per la riattivazione del GreenPass..Si tratta di una TRUFFA!
Ad ogni buon conto, procedendo alla simulazione e cliccando quindi sul link proposto veniamo dirottati su un modulo di richiesta come mostrato nelle immagini di lato.
In prima battuta il form richiede all’utente l'inserimento di nome e cognome come dati identificativi. Nonostante la presenza del logo del Ministero della Salute la pagina web è ospitata su tutt’altro dominio.
Per completare la richiesta di riattivazione tuttavia sembrerebbe necessario allegare, oltre al proprio documento d’identità anche una foto del viso… richiesta decisamente dubbia.
In conclusione vi ricordiamo che nessuna autorità pubblica e istituzionale richiede dati personali attraverso l'invio di sms o email.
Segnaliamo altresì che queste campagna di phishing/smishing, in quanto vere e proprie truffe che hanno l'obiettivo di rubare i vostri dati sensibili, sono già state prontamente segnalate dalle autorità competenti nei loro siti e nei relativi canali social ufficiali, che vi invitiamo a consultare.

Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:

06/04/2022 16:51 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di aprile 2022...
08/03/2022 17:08 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2022..

03/02/2022 16:25 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2022...

04/01/2022 09:13 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2022...
03/12/2021 15:57 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2021...
04/11/2021 09:33 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2021...

07/10/2021 14:38 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2021...
10/09/2021 15:58 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2021...

05/08/2021 18:09 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2021...
01/07/2021 15:58 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2021...

07/06/2021 16:44 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giungo 2021...
12/05/2021 12:38 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2021...

Prova Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:
  • liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
  • interoperabile con eventuali altri AntiVirus, AntiSpyware, AntiMalware o Internet Security già presenti su PC e SERVER, consigliato l'utilizzo ad integrazione dell'AntiVirus già in uso poichè non conflitta nè rallenta il sistema ma permette di aumentare sensibilmente la sicurezza in termini di identificazione e bonifica dei file infetti;
  • identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
  • grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
  • Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.
 

VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi AndroidTM

VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
 

VirIT Mobile Security l'Antimalware di TG Soft per Android(TM)TG Soft rende disponibile gratuitamente VirIT Mobile Security accedendo al market di Google Play Store (https://play.google.com/store/apps/details?id=it.tgsoft.virit) dal quale è possibile prelevare la versione Lite, liberamente utilizzabile sia in ambito privato che aziendale.

E’ possibile eseguire il passaggio alla versione PRO, acquistandolo direttamente dal nostro sito https://www.tgsoft.it/italy/ordine_step_1.asp

 

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.



Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:
  1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
  2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti. Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).
Per maggiori approfondimenti su come inoltrare in sicurezza e-mail sospette vi invitiamo a consultare la seguente pagina pubblica: Come inviare e-mail sospette per l'analisi
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.


C.R.A.M. Centro Ricerche Anti-Malware
 di TG Soft

Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: