INDICE dei PHISHING

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di Giugno 2025:

12/06/2025 => SumUp
12/06/2025 => Aruba - Messaggi non inviati
11/06/2025 => Europages
04/06/2025 => GoDaddy
04/06/2025 => Aruba - Dominio scaduto
04/06/2025 => Phishing Sondaggio - Leory Merlin / Decathlon
03/06/2025 => Phishing TELEPASS
02/06/2025 => Scam Polizia di Stato

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

• Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

• Prova Vir.IT eXplorer Lite

• Ora disponibile VirIT Mobile Security
  

• Ringraziamenti

• Come inviare e-mail sospette per l'analisi

12 Giugno 2025 ==> Phishing SumUp

OGGETTO: <I m p o r t a n t e : A g g i o r n a m e nto d i s i c u r e z z a p e r i l tu o a c c o u n t S u m U p>

Ritroviamo anche questo mese il tentativo di phishing che si spaccia per una comunicazione da parte di SumUp, la società londinese per i pagamenti digitali.

Il messaggio richiede al destinatario di aggiornare i propri dati relativi al suo account a seguito di un aggiornamento sulla sicurezza. Lo informa quindi che se non effettua l'aggiornamento potrebbe perdere definitivamente l'accesso all'account finchè i dati non saranno aggiornati. Per procedere viene indicato il seguente pulsante:

Aggiorna Dati 

Chiaramente la nota società, è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare i dati sensibili dell'ignaro ricevente.

Analizzando attentamente il messaggio ci sono alcuni indizi che dovrebbero insospettire. Notiamo subito come l’indirizzo email da cui proviene non è riconducibile al dominio ufficiale di SumUp <emaa[at]idealprestiti[dot]it>. Questo fatto è decisamente anomalo e dovrebbe quantomai insospettirci. Un altro fatto strano è che per effettuare l’aggiornamento venga richiesto di inserire le credenziali del proprio account tramite un link comunicato via mail. 

Chi dovesse malauguratamente cliccare sul link Aggiorna Dati verrà dirottato su una pagina WEB che come possiamo notare dall'immagine di lato, è graficamente ben fatta e simula discretamente il sito ufficiale di SumUp.

Possiamo notare però che la pagina di atterraggio in questo caso è ospitata sull'indirizzo url: https[:]//[NomeDominioFake*]sumup1/ che non ha nulla a che fare con il sito ufficiale.

Vi invitiamo sempre a far attenzione anche ai più piccoli dettagli e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori.

12 Giugno 2025 ==> Phishing Aruba - Messaggi non inviati

OGGETTO: <Avviso importante: hai (2) messaggi non inviati­­>

Continuano i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

II messaggio informa il ricevente che ad oggi 12 giugno sono arrivati 2 nuovi messaggi che però non sono stati recapitati nella casella di posta ospitata su Aruba. Il motivo del mancato recapito sembrerebbe una nuova politica di gestione della posta in arrivo adottata da Aruba. Invita quindi l'utente a recuperare il messaggio sospeso attraverso il seguente link:

Clicca qui per recuperare il messaggio 

Prestiamo sempre attenzione a richieste di inserimento delle credenziali personali, tramite link sospetti comunicati via mail.
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di Aruba  <info(at)assovini(dot)it>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci. 

Chi dovesse malauguratamente cliccare sul link verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..

11 Giugno 2025 ==> Phishing EuroPages

«OGGETTO: <Heinrich Bauer ti ha inviato una richiesta riguardante il tuo prodotto su europages>

Ritroviamo questo mese il seguente tentativo di phishing che sembra provenire da una falsa comunicazione di EuroPages e che ha l'obiettivo di rubare le credenziali di accesso all'account del malcapitato.

Il messaggio sembra provenire da EuroPages, la più grande piattaforma di sourcing B2B internazionale, e notifica all'utente che è arrivato un messaggio relativo al suo prodotto elencato su EuroPages da parte di un certo "Heinrich Bauer". Quindi invita l'utente ad accedere al suo account per visualizzare il messaggio di richiesta, attraverso il seguente link:

ACCEDI AL MIO ACCOUNT

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di EuroPages <info(at)termoidraulicamartone(dot)com>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.


Chi dovesse malauguratamente cliccare sul link ACCEDI AL MIO ACCOUNT verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali...

04 Giugno 2025 ==> Phishing GoDaddy

OGGETTO: <GoDaddy Billing Issue – Please Update Your Payment Method>

Analizziamo di seguito il tentativo di phishing che si spaccia per una comunicazione da parte di GoDaddy azienda statunitense che fornisce hosting e registrazione di domini internet.

Il messaggio, in lingua inglese, informa il ricevente che non è stato possibile completare il rinnovo dei servizi GoDaddy, a causa dell'attuale metodo di pagamento indicato. Per evitare la sospensione del servizio sembra necessario procedere tempestivamente all'aggiornamento delle informazioni di pagamento.
Invita quindi l'utente ad aggiornare il metodo d i pagamento, attraverso il seguente link:

Update Payment

Chiaramente l'azienda di servizi di web hosting, e-mail e registrazione domini, GoDaddy è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <support[at]alizadetajhiz[dot]com> non proviene dal dominio ufficiale di GoDaddy.

Chi dovesse malauguratamente cliccare sul link Update Payment verrà dirottato sulla pagina visualizzata.

Come possiamo notare, innazitutto, la pagina di atterraggio è graficamente ben fatta e simula discretamente il sito ufficiale di GoDaddy.

Possiamo notare che la pagina di atterraggio in questo caso è ospitata sull'indirizzo url: https[:]//[NomeDominioFake*]godaddyes/assets/ che non ha nulla a che fare con il sito ufficiale.

Vi invitiamo pertanto a ricordare che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche banale.
Procedendo all'inserimento dei dati richiesti, nello specifico i dati della carta di credito, questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno a scopi criminali.

04 Giugno 2025 ==> Phishing Aruba - Dominio scaduto

OGGETTO: <D­­­­o­­­­m­­­­i­­­­n­­­­i­­­­o ***** S­­c­­a­­d­­u­­t­­o – U­­l­­t­­i­­m­­a­­ ­­O­­p­­p­­o­­r­­t­­u­­n­­i­­t­­à­­ ­­d­­i­­ ­­R­­i­­n­­n­­o­­v­­o­­>

Continuano i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

II messaggio informa il ricevente che il suo dominio ospitato su Aruba, è scaduto il giorno odierno. Lo informa quindi che per evitare interruzioni del servizio, può procedere sin da subito al rinnovo del dominio, al costo di 5,99 € attraverso il seguente link:

Accedi all'Area Clienti

Prestiamo sempre attenzione a richieste di inserimento delle credenziali personali, tramite link sospetti comunicati via mail.
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Per indurre il malcapitato a procedere tempestivamente il cyber-criminale concede poco tempo per agire. Tale tecnica ha, sicuramente, lo scopo di intimidire l'utente, il quale per il timore di trovarsi impossibilitato ad entrare nel suo account ed utilizzare i servizi ad esso collegati è spinto ad agire senza prestare la dovuta attenzione.  

Chi dovesse malauguratamente cliccare sul link verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..

04 Giugno 2025 ==> Phishing sondaggio clienti: LeroyMerlin / Decathlon

Continuano le campagne di phishing a tema sondaggio clienti che sfruttano il marchio di note aziende, nei due casi di seguito riportati, sono aziende specializzate nella grande distribuzione.
Chiaramente i marchi sfruttati in queste campagne sono estranee all'invio massivo di queste e-mail malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Nei due esempi riportati notiamo che le mail provengono chiaramente da indirizzi estranei al dominio ufficiale di Decathlon <it9861523wedw[at]appartamentobelvedere[dot]it>,  o di Leroy Merlin<it9846513wesdsw[at]manzomed[dot]com>. Questo è decisamente anomalo e dovrebbe senz'altro insospettirci.

Cliccando sui link presenti nella mail, si viene dirottati su una pagina di ''atterraggio'' che, può sembrare graficamente ingannevole (con immagini fuorvianti e il logo autentico del marchio), ma prestando più attenzione in queste campagne la pagina di atterraggio è sempre ospitata su un indirizzo/dominio anomalo che non sembra per nulla attendibile o riconducibile al marchio sfruttato.

I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi, come ad esempio riportare le false testimonianze di clienti che hanno vinto il premio in questione, cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che l'offerta scade in giornata.
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!

Al termine del sondaggio si viene solitamente reindirizzati su una pagina per l'inserimento dell’indirizzo di spedizione e il contestuale pagamento delle spese di spedizione.

In conclusione vi invitiamo sempre a diffidare da messaggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

03 Giugno 2025 ==> Phishing TELEPASS    

OGGETTO: <O⁤ffe⁤r⁤t⁤a in s⁤c⁤ad⁤en⁤za! I⁤l K⁤it Eme⁤rg⁤en⁤z⁤a è t⁤u⁤o, ag⁤is⁤ci ⁤o⁤r⁤a!>

Di seguito analizziamo il seguente tentativo di truffa che si cela dietro ad una falsa comunicazione che sfrutta la nota azienda italiana che opera nel settore dei servizi per la mobilità in ambito urbano e extraurbano TELEPASS.
Sottoponiamo all'attenzione in particolare un esempio, graficamente e testualmente ben fatto che ha l'obiettivo di far credere all'utente di trovarsi di fronte ad una vera e propria occasione da non farsi sfuggire. 
Il fortunato utente è stato selezionato come vincitore di un fantastico premio o per lo meno così sembrerebbe....un nuovo "Kit di emergenza per auto di ultima generazione", che può essere richiesto partecipando ad un breve sondaggio sull'esperienza di utlizzo del servizio...
Sicuramente per molti utenti inesperti dietro questi phishing si cela un vero e proprio specchietto per le allodole.
Chiaramente la nota azienda TELEPASS è estranea all'invio massivo di queste campagne malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
A scanso di equivoci si tratta infatti di tentativI di phishing voltI a carpire i vostri dati personali..
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.

Già in prima battuta notiamo che il messaggi proveniene da indirizzo email che chiaramente non è riconducibile al dominio ufficiale di  TELEPASS , nello specifico: <commerciale[at]nuovafloricoltura[dot]it>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci. Se dovessimo tuttavia proseguire e cliccare sul link presente nelle mail ecco cosa accadrebbe:
Veniamo dirottati su una pagina di ''atterraggio'' che non è per nulla riconducibile a  TELEPASS  e contrariamente a quanto dovremmo attenderci, non viene richiesto di rispondere ad alcun sondaggio...
La pagina è ospitata su un indirizzo/dominio anomalo: https[:]//[NomeDominioFake*].... che non ha alcun legame con TELEPASS. Veniamo infatti dirottati su un sito che simula graficamente il portale di notizie tedesco T-online, che è quantomai anomalo.

Vi invitiamo pertanto a ricordare che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche banale.

02 Giugno 2025 ==> SCAM Polizia di Stato

«OGGETTO: <Convocazíone. N°000158 IT./🔴>

Di seguito un tentativo di SCAM, che notifica una citazione a carico del malcapitato.

II messaggio che arriva attraverso una mail, quantomai sospetta <henrique[dot]salazar[at]aluno[dot]colegiorecriarte[dot]com[dot]br> contiene un'allegato in .jpg denominato <CONVOCAZIONE1>, il testo inoltre è alquanto conciso, viene solo riportato un altro indirizzo e-mail a cui scrivere per maggiori informazioni <direzione[dot]generale[at]tutamail[dot]com>.
Aprendo l'allegato, che vediamo di seguito, notiamo che è impostato in modo graficamente ingannevole, si tratta di una falsa citazione per pedopornografia che sembrerebbe provenire dalla sig.ra "Nunzia Ciardi" Direttore del Dipartimento di Polizia Postale e delle Comunicazioni. La denuncia oggetto del messaggio sembra far riferimento ad un caso di pornografia infantile, pedofilia, esibizionismo e pornografia cybernetica e che sembrerebbe interessare il malcapitato poichè, da come riportato nella FALSA denuncia, avrebbe visitato un sito di pornografia infantile.

Si tratta di un tentativo di truffa da parte di cybercriminali, il cui obbiettivo è quello di estorcere una somma di denaro, in questo caso sotto forma di sanzione pecuniaria. Infatti nel messaggio viene riportato quanto segue:

" Sei pregato di farti sentire via email scrivendoci le tue giustificazini affinchè vengano messe in esame e verificate al fine di valutare le sanzioni; questo entro un termine rigorsoso di 72 ore."

Se il malcapitato non dovesse dare riscontro entro 72 ore, si procederà a inviare la denuncia al Procuratore della Repubblica di Milano che redigerà un mandato di cattura per procedere al successivo arresto.
Capire che si tratta di una falsa denuncia è abbastanza semplice, infatti notiamo che inanzittutto la denuncia non è personale, inoltre il documento contiene un timbro quantomai sospetto.

Chiaramente si tratta di un tentativo di truffa allo scopo di rubare dati sensibili dell'utente e di estorcere somme di denaro.