INDICE dei PHISHING

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di maggio 2022:

24/05/2022 => Aruba
18/05/2022 => DHL
17/05/2022 => cPanel
12/05/2022 => Aruba - Un nuovo file condiviso
10/05/2022 => Aruba - Caratteristiche di sicurezza dell'accounts
01/05/2022 => Smishing GreenPass

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

• Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

• Prova Vir.IT eXplorer Lite

• Ora disponibile VirIT Mobile Security
  

• Ringraziamenti

• Come inviare e-mail sospette per l'analisi

24 Maggio 2022 ==> Phishing Aruba

«OGGETTO: <Ci sono (2) messaggi non consegnati, per favore risolvi !>

Ritroviamo un altro tentativo di phishing che ha l'obiettivo di rubare la casella di posta elettronica del malcapitato, giunge da una falsa comunicazione da parte di Aruba.

Il messaggio notifica all'utente che ci sono 2 messaggi non recapitati e che non possono essere recapitati alla casella di posta elettronica.
In allegato viene inviato un documento .pdf che sembrerebbe contenere i messaggi non recapitati. Quindi invita l'utente ad aprire il file allegato:

Guarda i messaggi.pdf

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio di Aruba  <Michael(dot)thiemann(at)mytng(dot)de>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse cliccare sull'allegato Guarda i messaggi.pdf gli verranno date le istruzioni per recuperare i messaggi in sospeso.
 
Dall'immagine di lato notiamo che viene richiesto di recuperare il messaggio in sospeso in modo tempestivo o di recuperare i messaggi entro 72 ore, attraverso il seguente link:

Clicca qui per recuperare il messaggio

Inserendo i propri dati sulla pagina /SITO INGANNEVOLE che è già stata segnalata, per effettuare l'accesso, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

18 maggio 2022 ==> Phishing DHL

«OGGETTO: <Your package CH497586134 is waiting for delivery.>

Analizziamo di seguito un attacco di phishing che utilizza una falsa comunicazione proveniente dall'azienda DHL.
Come nella maggior parte delle campagne di phishing la vittima viene contattata tramite un falso messaggio proveniente apparentemente da DHL.
In questo caso la mail è in lingua inglese e invita il destinatario a confermare il pagamento (1.99 CHF) per completare la consegna del suo pacco CH497586134. La conferma online deve essere effettuata entro i successivi 14 giorni, prima della scadenza.
Viene quindi richiesto di cliccare sul seguente link per procedere al pagamento richiesto per la consegna:

CH497586134

17 Maggio 2022 ==> Phishing cPanel

«OGGETTO: <You have (1) new document file shared with you via cPanel iCloud.>

Di seguito analizziamo un nuovo tentativo di phishing che giunge da una falsa comunicazione da parte di cPanel ossia pannello di controllo grafico per la gestione e l'amministrazione di siti internet e web hosting.

II messaggio, in lingua inglese, notifica all'utente che è stato condiviso un documento tramite cPanel iCloud sharepoint. Quindi invita l'utente a cliccare sul documento allegato per visualizzare il file:

View Shared File

Chiaramente l'azienda di gestione e amministrazione di siti internet e web hosting cPanel  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <heinz(dot)schulze(at)mytng(dot)de> è anomalo e non proviene dal dominio ufficiale di cPanel.

Chi dovesse cliccare sull'allegato View Shared File gli verrà richiesto di accedere all'account di cPanel per visualizzare il file allegato.

12 Maggio 2022 ==> Phishing Account di Posta elettronica

«OGGETTO: <Un nuovo file di documento condiviso con te tramite Aruba iCloud>

Ritroviamo un altro tentativo di phishing che ha l'obiettivo di rubare la casella di posta elettronica del malcapitato, che giunge da una falsa comunicazione da parte di Aruba.

Il messaggio notifica all'utente che è stato condiviso un documento tramite Aruba iCloud SharePoint.
Clicca sul documento allegato per visualizzare il file. Quindi invita l'utente ad aprire il file allegato:

Visualizza file condiviso.pdf

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile a qualche gestore di posta elettronica <heinz(dot)schulze(at)mytng(dot)de>, e non sembra chiaramente provenire dal dominio del destinatario. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Visualizza file condiviso.pdf  verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali....

10 Maggio 2022 ==> Phishing Account di Posta elettronica

«OGGETTO: <Caratteristiche di sicurezza dell'accounts>

Anche questo mese ritroviamo il seguente tentativo di phishing che ha l'obiettivo di rubare la casella di posta elettronica del malcapitato.

Il messaggio notifica all'utente che è stato riscontrato un errore nel servizio web e che alcune mail in arrivo sono state messe in attesa dal sistema del server Aruba. Quindi invita l'utente a resettare l'account per evitare restrizioni permanenti attraverso il seguente link:

Clicca per convalidare

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile a qualche gestore di posta elettronica <support(at)sominetworks(dot)it>, e non sembra chiaramente provenire dal dominio del destinatario. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Clicca per convalidare verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali....

01 Maggio ==> Smishing GreenPass

Il mese di maggio si apre con un nuovo tentativo di smishing a tema Green Pass.

La truffa giunge attraverso un sms che sembra apparentemente provenire dal Ministero della Salute e che informa l’utente della revoca della sua certificazione Covid-19.
Testualmente l’sms riporta quanto segue:
''La sua Certificazione Covid-19 è stata revocata.
Visiti www[.]certrevocata19[.]byethost5[.]com per riattivarla subito.''

L’sms contraffatto usa come esca l’attualissimo Green Pass con l’obiettivo di carpire i dati personali del destinatario, che, allarmato dall’sms ricevuto al fine di riattivare quanto prima la Sua Certificazione Covid-19 potrebbe essere spinto a cliccare frettolosamente e malauguratamente sul link segnalato.
E’ chiaro che, ragionando sul messaggio ricevuto e usando un pò di buon senso, si può facilmente dedurre che la revoca del Green Pass non sia così facilmente applicabile, poiché questa viene generata a seguito di un tampone molecolare positivo, e viene annullata a seguito del primo tampone antigenico rapido o molecolare negatico, entro 24 ore dall’esito, di certo non è una procedura semplicemente ‘’manuale’’ che prevede il banale inserimento dei propri dati personali su un form di autenticazione.
Oltretutto il link segnalato

www[.]certrevocata19[.]byethost5[.]com

è decisamente sospetto e non sembra riconducibile per nulla al Ministero della Salute.
 
Ad ogni buon conto, procedendo alla simulazione e cliccando quindi sul link proposto veniamo dirottati su un modulo di richiesta come mostrato nelle immagini di lato.
In prima battuta il form richiede all’utente l'inserimento di nome e cognome come dati identificativi. Nonostante la presenza del logo del Ministero della Salute la pagina web è ospitata su tutt’altro dominio.
Per completare la richiesta di riattivazione tuttavia sembrerebbe necessario allegare, oltre al proprio documento d’identità anche una foto del viso… richiesta decisamente dubbia.
In conclusione vi ricordiamo che nessuna autorità pubblica e istituzionale richiede dati personali attraverso l'invio di sms o email.
Segnaliamo altresì che queste campagna di phishing/smishing, in quanto vere e proprie truffe che hanno l'obiettivo di rubare i vostri dati sensibili, sono già state prontamente segnalate dalle autorità competenti nei loro siti e nei relativi canali social ufficiali, che vi invitiamo a consultare.