INDICE dei PHISHING

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di ottobre 2023:

26/10/2023 => Account di Posta elettronica
25/10/2023 => SexTortion
25/10/2023 => Mooney
25/10/2023 => Europages
25/10/2023 => Smishing - Sparkasse
23/10/2023 => Smishing - Il vostro ordine è bloccato
19/10/2023 => Aruba - Rinnova il dominio
14/10/2023 => Istituto Bancario
07/10/2023 => Aruba - Rinnova il dominio
07/10/2023 => Istituto Bancario
06/10/2023 => Istituto Bancario

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

• Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

• Prova Vir.IT eXplorer Lite

• Ora disponibile VirIT Mobile Security
  

• Ringraziamenti

• Come inviare e-mail sospette per l'analisi

26 Ottobre 2023 ==> Phishing Account Posta Elettronica

OGGETTO: <NOTICE!!! Email Storage Full>

Analizziamo di seguito il tentativo di phishing che ha l'obiettivo di rubare le credenziali dell'account di posta elettronica del malcapitato.

Il messaggio, in lingua inglese, informa il destinatario che la lo spazio di archiviazione è quasi pieno e che presto non sarà possibile ricevere nuovi messaggi. Lo invita quindi ad aumentare lo spazio di archiaviazione per continuare ad utilizzare il suo account di posta, cliccando sul seguente link:

Reset storage

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al server che ospita la casella di posta elettronica <no-reply(at)gsmedi(dot)com>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Reset storage verrà dirottato su una pagina WEB anomala,che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..

25 Ottobre 2023 ==> SexTortion

Questo mese ritroviamo la campagna SCAM a tema SexTortion. L'e-mail sembrerebbe far desumere che il truffatore abbia avuto accesso al dispositivo della vittima, e come presunta prova della violazione il cyber criminale fa notare al malcapitato che la mail sembrerebbe giungere proprio dal suo indirizzo di posta elettronica, in questi casi viene simulato l'indirizzo con delle etichette, lo scopo è quello di far credere che ci sia stata una violazione nell'account del malcapitato per poi ricattarlo richiedendo il pagamento di una somma di denaro, sottoforma di Bitcoin, per non divulgare tra i suoi contatti mail e social un suo video privato mentre guarda siti per adulti.

Di seguito Vi riportiamo un estratto del testo della mail di lato:

" Hai visto ultimamente la mia e-mail inviata da un tuo account? Sì, questo conferma semplicemente che ho ottenuto l'accesso completo al tuo dispositivo. Negli ultimi mesi ti ho osservato. Sei ancora sorpreso di come sia potuto accadere? Francamente, il malware ha infettato i tuoi dispositivi e proviene da un sito Web per adulti che eri abituato a visitare. Sebbene tutte queste cose possano sembrarti poco familiari, lasciami provare a spiegartelo. Con l'aiuto dei virus Trojan, sono riuscito ad ottenere l'accesso completo a qualsiasi PC o altro tipo di dispositivo. Ciò significa semplicemente che posso guardarti quando voglio tramite il tuo schermo semplicemente attivando la fotocamera e il microfono, mentre tu non lo sai nemmeno. Inoltre, ho anche avuto accesso all'intero elenco dei contatti e alla tua corrispondenza completa. Forse ti starai chiedendo: "Tuttavia, il mio PC è protetto da un antivirus legittimo, quindi come è potuto succedere? Perché non riesco a ricevere alcun avviso?" Ad essere onesti, la risposta è abbastanza semplice: il mio malware utilizza driver che aggiornano le firme ogni 4 ore, rendendole irrintracciabili e facendo così rimanere inattivo il tuo antivirus. Ho raccolto un video sullo schermo di sinistra in cui ti diverti a masturbarti, mentre il video sullo schermo di destra mostra il video che stavi guardando in quel momento. Sei ancora perplesso su quanti danni potrebbe causare? Mi basta un clic del mouse per condividere questo video sui tuoi social network e sui tuoi contatti e-mail. Inoltre ho accesso anche a tutta la corrispondenza e-mail e ai messenger da voi utilizzati.

A questo punto viene richiesto di inviare 1550 USD in Bitcoin sul portafoglio di seguito indicato: "1P28XXXXXXXXXXXXXXXXXXXXXXXLvn'. Dopo aver ricevuto la transazione tutti i dati veranno cancellati, altrimenti in caso contrario un video che ritrae l'utente, verrà mandato a tutti i colleghi, amici e parenti, il malcapitato ha 48 ore di tempo per effettuare il pagamento!

Analizzando i pagamenti effettuati sul wallet alla data del 30/10/2023, risultano 3 transazioni pari a 2950,55 USD.

In questi casi vi invitiamo sempre a:

1. non rispondere a questo genere di e-mail e a non aprire allegati o a cliccare righe contenenti link non sicuri, e certamente a NON inviare alcuna somma di denaro, si possono tranquillamente ignorare o eliminare.
2. Nel caso in cui il criminale dovesse riportare una password effettiva utilizzata dall'utente -la tecnica è quella di sfruttare le password provenienti da Leak (furto di dati compromessi) pubblici di siti ufficiali avvenuti in passato (es. LinkedIn, Yahoo ecc.)- è consigliabile cambiarla e attivare l'autenticazione a due fattori su quel servizio.

25 Ottobre 2023 ==> Phishing Mooney

OGGETTO: < MESSAGGIO IMPORTANTE >
 
Di seguito analizziamo il seguente tentativo di phishing che giunge da una falsa comunicazione da parte di Mooney, la società italiana di Proximity Banking & Payments.

II messaggio informa il ricevente che il suo account è temporaneamente bloccato a causa di un errore di aggiornamento.
Lo invita quindi ad effettuare l'aggiornamento del suo profilo, attraverso il seguente link:

Clicca qui

Questa volta la campagna di phishing simula una comunicazione che sembra provenire dalla società italiana di pagamenti online Mooney, che chiaramente è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo sin da subito che il messaggio di alert giunge da un indirizzo e-mail che non sembra riconducibile al dominio di Mooney <support(at)delsanva(dot)com>, anche se il cybercriminale ha avuto l'accortezza di inserire il noto logo della società, prestiamo sempre la massima attenzione prima di cliccare su link sospetti.

Chi dovesse malauguratamente cliccare sul link Clicca qui verrà dirottato su una pagina WEB anomala, che non ha nulla a che vedere con il sito ufficiale di Mooney,  ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..

25 Ottobre 2023 ==> Phishing EuroPages

«OGGETTO: <Klaus Heinrich ti ha inviato un messaggio di richiesta sul tuo prodotto>

Ritroviamo questo mese il seguente tentativo di phishing che sembra provenire da una falsa comunicazione di EuroPages e che ha l'obiettivo di rubare le credenziali di accesso all'account del malcapitato.

Il messaggio sembra provenire da EuroPages, la più grande piattaforma di sourcing B2B internazionale, e notifica all'utente che è arrivato un messaggio relativo al suo prodotto elencato su EuroPages da parte di un certo "Klaus Heinrich". Quindi invita l'utente ad accedere al suo account per visualizzare il messaggio di richiesta, attraverso il seguente link:

ACCEDI AL MIO ACCOUNT

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di EuroPages <info(at)gladiuspescara(dot)it>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.


Chi dovesse malauguratamente cliccare sul link ACCEDI AL MIO ACCOUNT verrà dirottato su una pagina WEB anomala.

25 Ottobre 2023 ==> Smishing SPARKASSE

Analizziamo di seguito un nuovo tentativo di smishing che si spaccia, questa volta, per una comunicazione via sms di SPARKASSE.

Si tratta, nello specifico, di un sms di alert che notifica al destinatario la rilevazione di un dispositivo anomalo che ha effettuato l'accesso all'App, presumibilmente relativa all'home banking e che sembrerebbe provenire dalla Polonia. Viene indicato quindi un link per procedere al blocco dell'utenza sospetta.

E' logico che se il destinatario dell'sms non sia effettivamente cliente di SPARKASSE sia più immediato chiedersi cosa si celi effettivamente dietro questo sms anomalo. Ma se anche fosse cliente del noto istituto bancario, è quantomeno importante ricordare che in nessun caso gli istituti bancari richiedono ai clienti di fornire dati personali e soprattutto le credenziali di accesso all'home banking attraverso SMS ed e-mail.
Già nell'sms sospetto infatti notiamo che l'intento dei cyber-criminali è di portare l'utente, allarmato per la segnalazione dell'accesso anomalo, a cliccare tempestivamente sul link https://urlz[.]**/o***

Quest'ultimo tuttavia, già a colpo d'occhio, non corrisponde al sito ufficiale del noto istituto bancario, rimanda infatti ad una pagina che non ha nulla a che vedere con il sito ufficiale di SPARKASSE. Analizziamola di seguito nel dettaglio.

Come possiamo vedere dall' immagine riportata, la pagina web in cui si viene dirottati dal link presente nell'sms simula discretamente il sito ufficiale di SPARKASSE e risulta impostata in modo ragionevolmente ingannevole per un utente inesperto, sia dal punto di vista grafico che testuale.

Per rassicurare l'utente sull'autenticità della pagina i cyber-criminali hanno avuto infatti l'accorgimento di inserire il logo autentico di SPARKASSE e di impostare la pagina con la stessa grafica del sito ufficiale.

In prima battura viene richiesto l'inserimento di Nome, Cognome e Numero di Cellulare di modo da completare un primo step identificativo ''Verifica la tua identità''. Simulando il tutto con l'inserimento di dati fake e cliccando poi su CONFERMA ad una prima videata di elaborazione dati segue un'altra richiesta di accesso, ancora più sospetta, che nasconde il vero obiettivo dei truffatori: rubare i codici di accesso all'home banking.

Come possiamo notare infatti viene richiesto l'inserimento di Codice Utente o Alias e Password.. 

Sebbene lo stesso FORM di autenticazione sembri ben fatto, vi invitiamo a prestare attenzione, in particolare, all'indirizzo url della pagina di accesso alla gestione dell'account.
Questa è infatti ospitata su un indirizzo/dominio che non ha nulla a che fare con SPARKASSE.

Inserendo i propri dati personali su questo FORM per effettuare l'accesso al conto corrente SPARKASSE, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

In conclusione vi invitiamo sempre a diffidare da qualunque form che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati di accesso al proprio conto corrente bancario, i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

23 Ottobre 2023 ==> Smishing ''Il vostro ordine è bloccato''

Analizziamo di seguito un nuovo tentativo di furto dati sensibili che giunge attraverso un sms ingannevole.


 
In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

14 Ottobre 2023 ==> Phishing Istituto Bancario

OGGETTO: <Aggiorna subito le tue informazioni ⚠ >

Di seguito un'altra campagna di phishing, che giunge attraverso un'e-mail che, sfruttando la grafica rubata, o simile, a quella di un noto Istituto Bancario nazionale, cerca di spacciarsi per una comunicazione ufficiale, per indurre l'ignaro ricevente ad effettuare quanto richiesto e a cadere in questo tranello basato su tecniche di ingegneria sociale (social engeenering).

 

07 - 19 Ottobre 2023 ==> Phishing Aruba - Rinnova il dominio

Di seguito segnaliamo i seguenti tentativi di phishing che ritroviamo questo mese, che sembrano giungere da una falsa comunicazione da parte di Aruba.


Negli esempi riportati in alto, molto simili, viene segnalato al cliente che il suo dominio ospitato su Aruba sta per scadere e lo invita quindi a rinnovare prima della scadenza. Lo informa che qualora il dominio non venga rinnovato, tuttii servizi a questo assoociati, veranno disattivate, comprese le caselle di posta elettronica, non potrà più quindi ricevere e inviare messaggi.  Invita quindi l'utente a rinovare il dominio, completando l'ordine attraverso i link indicati nella mail.

L'intento è chiaramente quello di portare l'utente a cliccare sul link riportato nella mail:

RINNOVA IL DOMINIO  o RINNOVA ORA CON UN CLICK

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Per riconoscere questi tentativi di phishing è necessario innanzittutto analizzare l'indirizzo e-mail del mittente, che come possiamo vedere nei 2 casi riportati: <infos(at)homespl(dot)com>; Comunicazioni_Aruba (in questo caso l'indirizzo è nascosto) ma sicuramente non provengono dal dominio ufficiale di Aruba.

Molto spesso questi messaggi sono e-mail scritte male che contengono errori di ortografia oppure richieste di rinnovo per servizi che non sono in scadenza, in quanto fanno leva sull'urgenza o sulla sicurezza dei propri dati per far si che l'utente proceda a inserire i propri dati.

Un altro elemento da analizzare sono i link o allegati che questi messaggi contengono, che di solito rimandano ad un sito web contraffatto dove viene richiesto l'inserimento dei propri dati personali come nome utente e password del proprio account o dati personali come la carta di credito per effettuare il rinnovo dell'account e che, se inseriti, verrebbero utilizzati da cyber-criminali per scopi criminali..

06 - 07 Ottobre 2023 ==> Phishing Istituto Bancario

Ritroviamo anche questo mese numerose campagne di phishing, che giungono attraverso un'e-mail che, sfruttando la grafica rubata, o simile, a quella di un noto Istituto Bancario nazionale, cerca di spacciarsi per una comunicazione ufficiale, per indurre l'ignaro ricevente ad effettuare quanto richiesto e a cadere in questo tranello basato su tecniche di ingegneria sociale (social engeenering).

ESEMPIO 1
OGGETTO: <Importante: Attiva il nuovo sistema di sicurezza web>

ESEMPIO 2
OGGETTO: <La tua carta sarà limitata dal 09/10/2023>

Nell'esempio 1 il messaggio segnala all'ignaro ricevente che, a partire dal 9 ottobre non potrà più utilizzare la sua carta se non attiva il nuovo sistema di sicurezza web, che garantisce maggiore sicurezza e affidabilità nelle operazioni online. Per indurre il ricevente a cliccare viene indicato che l'operazione è veloce e l'intera procedura dura 3 minuti, per procedere viene indicato il seguente link Clicca qui.

Nell'esempio 2 invece viene segnalato al destinatario che l'utilizzo della sua carta di credito sarà limitato a partire dal 9 ottobre previa registrazione di un servizio di sicurezza, il cui costo di attivazione sembra gratuito, accessibile dal link ACCEDI ALLA TUA BANCA VIA INTERNET.

Possiamo notare sin da subito che entrambi i messaggi di alert giungono da indirizzi e-mail quanto mai sospetti e non riconducibili al noto Istituto Bancario. Entrambi i testi sono molto generici ma presentano tutti e due il noto logo dell'istituo bancario. Nell'esempio 1 il cybercriminale ha avuto l'accortezza ulteriore di inserire anche la P.IVA autentica dell'ente. Tutto ciò potrebbe trarre in inganno un utente inesperto, che spinto dalla fretta e dal volere avere una maggiore sicurezza, cliccherebbe proprio su un link contraffatto.

L'intento resta quello di portare il ricevente a cliccare sul link che rimanderebbe ad una pagina web  che è già stata segnalata come pagina INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
 

Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:

05/09/2023 10:35 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2023...
01/08/2023 17:33 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2023...
03/07/2023 10:23 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2023...
07/06/2023 15:57 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di giugno 2023...
03/05/2023 17:59 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di maggio 2023...
05/04/2023 17:34 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di aprile 2023...
03/03/2023 16:54 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2023..
06/02/2023 17:29 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2023...
02/01/2023 15:28 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2023...
02/12/2022 15:04 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2022...
04/11/2022 17:27 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2022...
05/10/2022 11:55 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2022...

Prova Vir.IT eXplorer Lite

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:

• liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
• completamente interoperabile con altri software AntiVirus e/o prodotti per l'Internet Security (sia gratuiti che commerciali) già installati sul proprio computer, senza doverli disinstallare e senza provocare rallentamenti, poichè sono state opportunamente ridotte alcune funzionalità per garantirne l'interoperabilità con il software AntiVirus già presente sul PC/Server. Questo però permette il controllo incrociato mediante la scansione.
• identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
• grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
• Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

 

VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi Android^TM

VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
 

TG Soft rende disponibile gratuitamente VirIT Mobile Security accedendo al market di Google Play Store (https://play.google.com/store/apps/details?id=it.tgsoft.virit) dal quale è possibile prelevare la versione Lite, liberamente utilizzabile sia in ambito privato che aziendale.

E’ possibile eseguire il passaggio alla versione PRO, acquistandolo direttamente dal nostro sito=> clicca qui per ordinare

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.

Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:

1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti. Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).

Per maggiori approfondimenti su come inoltrare in sicurezza e-mail sospette vi invitiamo a consultare la seguente pagina pubblica: Come inviare e-mail sospette per l'analisi
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.


C.R.A.M. Centro Ricerche Anti-Malware di TG Soft