Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di settembre 2016. Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili. |
INDICE dei PHISHING
|
Il seguente tentativo di phishing si spaccia per finta email da parte di Intesa Sanpaolo. Dal messaggio di alert si può intuire che al ricevente è stata contestata una presunta sanzione amministrativa e che, per consultarla, è necessario accedere al sito di Intesa Sanpaolo premendo sul link ''cliccando qui''. Dal punto di vista grafico la mail, in prima battuta, potrebbe apparire attendibile considerando l'indirizzo email del mittente comunicazione(et)intesasanpaolo(dot)it che parrebbe provenire dal dominio autentico del sito di Intesa Sanpaolo. Tuttavia, oltre al testo redatto in italiano poco chiaro, non vi è la presenza nè di un logo nè tanto meno di riferimenti anagrafici che possano ricondurci al noto istituto bancario. |
Questo tentativo di phishing si spaccia per finta email da parte di APPLE con lo scopo di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso a APPLE Store in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica. Il messaggio di alert giunge da un indirizzo email <postmaster(et)hanportal(dot)com> che non sembra provenire dal dominio reale di APPLE. Tuttavia i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di APPLE con lo scopo di rendere più attendibile l'alert. |
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo / dominio che nulla ha a che fare con Apple... Nell'immagine si può notare che la pagina che ospita il form di autenticazione è: www.odeongamer(dot)net
Inserendo i dati di accesso all'account APPLE su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili. |
Questo tentativo di phishing si spaccia per finta email da parte di APPLE con lo scopo di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso ad ITunes Apple in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica. Il messaggio di alert giunge da un indirizzo email <info(at)apple(dot)it> credibile poichè sembrerebbe appartenere al dominio reale di APPLE. Inoltre i cyber-truffatori hanno avuto l'accorgimento grafico di inserire nel corpo della mail il noto logo di APPLE con lo scopo di rendere più attendibile l'alert. Sebbene, rispetto alla finta mail di APPLE evidenziata in precedenza, questa sia redatta in lingua italiana, già ad una veloce lettura possiamo notare l'incomprensione del testo che dovrebbe far perdere credibilità alla comunicazione e non indurre l'ignaro ricevente a cliccare sul link Il mio ID Apple come anche sui link di fondo pagina: Apple-ID | Supporto | Politica sulla Riservatezza |
|
La pagina di accesso alla gestione dell'Account però è ospitata su un indirizzo / dominio che nulla ha a che fare con Apple... Nell'immagine si può notare che la pagina che ospita il form di autenticazione è: https:// successphotography(dot)com/fonts/itunes/login(dot)php...
Inserendo i dati di accesso all'account APPLE su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.
|
Questo tentativo di phishing si spaccia per finta email da parte di ARUBA, il cui obbiettivo è quello di RUBARE le credenziali di accesso dell'account di posta elettronica. Premesso che il server provider di ARUBA non ha alcuna responsabilità sulla diffusione massiva di queste email, procediamo ad analizzare la mail ingannevole. La mail, a prima vista, potrebbe sembrare ragionevolmente credibile, si nota la presenza del logo di aruba.it e in calce i riferimento pseudo-ufficiali: _______________________________ Customer Care Aruba S.p.A. www.aruba.it assistenza.aruba.it Il messaggio segnala che <mioindirizzoemail(at)miodominio(dot)com/it> "Si è giunti alla nostra attenzione che la cassetta postale ha superato limiti e richiedono di essere convalidati entro 24 ore, al fine di continuare l'invio o la ricevzione di nuovi messaggi." |
Cliccando sul link Rivedere e convalidare si verrà indirizzata alla pagina web sotto riportata |
Cliccando sul link clic qui. si verrà indirizzati alla pagina web sotto riportata |
13 settembre 2016 ==> Phishing BNL Gruppo BNP PARIBAS«OGGETTO: <indirizzo e-mail del destinatario> |
|
Il seguente tentativo di phishing si spaccia per finta email da parte di BNL Gruppo BNP PARIBAS. Il messaggio di alert avvisa il malcapitato ricevente che il proprio servizio di home banking è stato sospeso per motivi di sicurezza essendo stata rilevata attività di frode informatica sul suo conto corrente. Si tratta però di un tentativo di phishing con lo scopo di carpire le credenziali di accesso. Dal punto di vista grafico la mail, in prima battuta, potrebbe essere considerata attendibile vista la presenta del logo di BNL Gruppo BNP PARIBAS e l'indirizzo del mittente che sembra provenire da un indirizzo generico di BNL. Il testo, è redatto in un italiano un po' approssimativo. Le prime 3 frasi sembrano essere abbastanza corrette e comprensibili poi però, nella frase che dovrebbe indurre a cliccare sul link "Accedere e reinserire i vostri dati alla seguiente pagina per realizare il processo di verifica" si possono notare quelle imprecisioni tipiche di maldestra e/o frettolosa traduzione e/o battitura... Ad un osservatore più attento si può notare che l'indirizzo web della pagina a cui si viene indirizzati è un po' "anomalo"...
www(dot)hagoodman(dot)com
|
|
![]() Clicca per ingrandire l'immagine |
Ma come se questo non bastasse, da una mail di BNL Gruppo BNP PARIBAS si arriva ad un Form di richiesta dati di BancaMarche... evidentemente non si tratta della stessa banca.
Come considerazione finale la pagina web NON è ospitata su un sito web https quindi le informazioni immesse nel form di questo sito non sono cifrate ma in chiaro.
Bisogna riconoscere che la pagina del form che dissimula quello di BancaMarche, graficamente, è ragionevolmente credibile.
Tutto questo per concludere che i dati eventualmente inseriti ed inviati non verranno presumibilmente trasmessi ai server dei BNL Gruppo BNP PARIBAS ne a BancaMarche, ma ad un server remoto gestito dai cyber-truffatori, mettendo quindi i preziosi dati di accesso al conto corrente nelle loro mani con tutti i rischi annessi e connessi.
|
6 settembre 2016 ==> Phishing Credito Valtellinese«Oggetto: <Credito Valtellinese informazioni>
|
|||||
Il seguente tentativo di phishing si spaccia per finta email del servizio informazioni del Credito Valtellinese.
Sotto l'aspetto grafico la mail risulta esclusivamente testuale mancando, come si può vedere dell'immagine quì a fianco, anche del logo identificativo del Credito Valtellinese. I truffatori hanno però avuto l'accortezza di simulare una e-mail mittente credibile nello specifico <assistenza(at)creval(dot)it> che fa riferimento al dominio ufficiale del Credito Valtellinese.
|
Clicca per ingrandire l'immagine
|
||||
Se però il malcapitato ricevente, dovesse aver precedentemente ricevuto la mail di alert dello scorso 2 settembre potrebbe essere indotto, a cliccare sul link, "Fare click qui per andare alla pagina dell'autorizzazione", poichè questa e-mail segnala che l'accesso al suo conto è stato bloccato e viene invitato a procedere alla sblocco per poter avere nuovamente a disposizione l'operatività del suo Conto OnLine.
Si può notare che il testo della mail è molto generico, non vi è un nome dell'intestatario del Conto Corrente come non è presente un identificativo specifico al conto a cui si riferisce l'alert. Generalmente, vista la delicatezza di una tale situzione, ci sarebbe da aspettarsi, trattandosi di comunicazone ufficiale, di vedere riportate indicazioni precise sul destinatario come l'intestatario del Conto o il nome e cognome del referente del conto stesso nonchè eventuali riferimento all'identificativo del conto oggetto di "attacco".
Il testo, è redatto in un italiano imperfetto. Nella prima frase si può notare un grossolano errore di digitazione "... un apposito meccanismo blocca automaticamente loperativitr del suo conto...".
L'obiettivo è quello di indurre l'ignaro ricevente a cliccare sul link:
"Fare click qui per andare alla pagina dell'autorizzazione"
|
3 settembre 2016 ==> Phishing VISA«Oggetto: Visa - Messagio importante !»
|
|
Sotto l'aspetto grafico la mail, in prima battuta, potrebbe essere considerata attendibile vista la presenza del logo di VISA e dell'indirizzo del mittente <sicurezza@visaitalia.com> che sembrerebbe provenire da un URL credibile.
E' chiaro che il server di VISA non ha alcuna responsabilità sulla diffusione massiva di queste mail il cui obbiettivo è quello di RUBARE i codici della carta di credito di utenti che, colti in inganno dalla falsa mail che preannuncia la sospensione della propria carta di credito VISA, sono portati a cliccare sul link ''clicca qui''.
Il messaggio di alert invita tempestivamente l'utente ad intervenire per evitare il blocco della carta di credito entro un termine perentorio ''10 settembre 2016'' a pochi giorni successivi alla ricezione della mail.
|
Clicca per ingrandire l'immagine
|
Ad una lettura più scrupolosa si può notare che la mail non è indirizzata ad un destinatario preciso; non viene infatti riportato il nome e cognome del titolare della Carta di Credito VISA a cui si riferisce l'alert ma il messaggio si rivolge ad un generico ''Ciao Ospite carta Visa'' quando nelle comunicazioni ufficiali (e autentiche) di questo tipo vengono riportate indicazioni precise sul destinatario come l'intestatario della Carta di Credito.
Inoltre il testo è redatto in un italiano impreciso, in cui si alternano termini in lingua inglese come ''suspention'' e ''infiniment'' che potrebbero far pensare ad una traduzione approssimativa con un sistema di traduzione automatico.
|
|
Il sito al quale si viene dirottati tramite il link ''clicca qui'' mostra una notevole somiglianza con il sito autentico di VISA.
La Tab del browser dove viene aperta la pagina ha come titolo ''Sicurezza della Carta'' e contiene anche il simbolo di VISA. Tuttavia è sufficente far attenzione alla barra dell'indirizzo del browser per accorgersi che il sito è anomalo e non ha nulla a che vedere con VISA [ www(dot)modenamusicbox(dot)it/..... ], appartenendo ad un dominio diverso.
Inoltre i siti altamente referenziati utilizzano protocolli Https in cui la trasmissione di dati sensibili avviene in modalità criptata e quindi più difficilmente intercettabile da terzi malintenzionati.
I dati richiesti dal form sono i dati identificativi del titolare della carta di credito e i relativi codici di sicurezza.
Una volta inviati, questi non verrebbero processati da VISA ma direttamente da cyber-criminali che quindi avrebbero a disposizione informazioni per poter utilizzare la carta di credito del malcapitato, effettuando transazioni fraudolente.
|
Clicca per ingrandire l'immagine
|
2 settembre 2016 ==> Phishing Credito Valtellinese«OGGETTO: <indirizzo e-mail del destinatario>
|
|
Il seguente tentativo di phishing si spaccia per finta email da parte del GRUPPO BANCARIO Credito Valtellinese.
Il testo, è redatto in un italiano un po' approssimativo. All'inizio della frase viene dato del "tu" al cliente ("La funzionalita del tuo account...") mentre, nel seguito, viene dato del "voi" ("solo dopo aver confermato la vostra proprietà...").
Nella prima frase di può anche notare che le accentate sono un optional ("funzionalita"; "...falliti. e ancora possibile..."; "... sara in grado di...") come anche la lettera maiuscola della prima parola dopo il punto ("... falliti. e ancora possibile accedere al tuo account").
|
Clicca per ingrandire l'immagine
|
Nella seconda frase che invita al reinserimento dei propri dati di accesso al conto per realizzare il processo di verifica si possono rilevare almeno 2 errori ortografici:
L'obiettivo è quello di indurre l'ignaro ricevente a cliccare sul link:
"Processo di verifica"
che, ci preme precisarlo, rimanda ad una pagina che nulla ha a che vedere con il Credito Valtellinese.
Sotto l'aspetto grafico la mail, in prima battuta, potrebbe essere considerata attendibile vista la presenza del logo del Credito Valtellinese e, vista la delicatezza della questione, legata a ripetuti tentativi di accesso al nostro accounto di Home Banking con l'indicazioni anche dell'indirizzo IP 79.35.247.44 (RU-RUSSIA), tutte cose che potrebbe indurre in fretta e furia a "riappropriarsi del proprio account di Home Banking" portandoci a cliccare sul link "Processo di verifica".
Si può notare che la mail è genericamente indirizzata, non vi è un nome dell'intestatario del Conto Corrente come non è presente un identificativo specifico al conto a cui si riferisce l'alert, il messaggio si rivolge ad un generico "Gentile cliente" quando nelle comunicazioni ufficiali (e autentiche) di questo tipo vengono riportate indicazioni precise sul destinatario come l'intestatario del Conto o il nome e cognome del referente del conto stesso nonchè eventuali riferimento all'identificativo del conto oggetto di "attacco".
|
|
Cliccando sul link "Processo di verifica" si viene indirizzati alla pagina riportata nell'immagine qui a fianco.
Si può notare che la Tab del browser dove viene aperta la pagina ha come titolo "Credito Valtellinese" con l'obiettivo di rassicurare l'utente per quanto riguarda la "genuinità" della pagina stessa. Ma ad un osservatore più attento si può notare un indirizzo web del browser un po' "anomalo" dove viene riportato una successione di numeri simili ad un indirizzo IP da dove viene caricata la pagina 1.html che visualizza il form di verifica. Il sito web non è https quindi le informazioni immesse nel form di questo sito non sono cifrate ma in chiaro.
|
Clicca per ingrandire l'immagine
|
Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza:
Vai alla pagina di download.
|
![]() |
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft