Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di ottobre 2016. Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili. |
INDICE dei PHISHING
|
Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte della nota compagnia telefonica WIND. Il messaggio annuncia al destinatario che, se effettua una ricarica telefonica online entro il 10/2016 gli sarà riconosciuto del credito omaggio. Chiaramente si tratta di una truffa volta ad ammaliare l'ignaro destinatario convinto di poter usufruire di una promozione che sembrerebbe accordargli in omaggio il doppio del credito ricaricato. In poche parole, un vero e proprio specchietto per le allodole. L'obiettivo dei cyber-criminali ideatori della truffa resta chiaramente quello di rubare i codici della carta di credito del ricevente. Ad un primo impatto visivo il messaggio potrebbe essere forviante soprattutto per la presenza del logo di WIND che rende il messaggio più credibile. Tuttavia il messaggio giunge da un indirizzo email anomalo, non proveniente dal dominio effettivo di WIND. |
Questo phishing si cela dietro una falsa mail di eBay. Il messaggio, che sembra riconducibile al noto sito di vendita online è redatto in lingua inglese e segnala all'utente che il suo account eBay è stato temporaneamente bloccato poichè sono state rilevate transazioni fraudolente e che per riabilitarlo è necessario modificare/aggiornare tempestivamente le credenziali di accesso. Vengono successivamente fornite istruzioni dettagliate su come ripristinare l'account, rassicurando l'utente che le misure addottate sono volte a garantire la protezione dei suoi dati riservati. Chiaramente si tratta di un'email contraffatta in cui è possibile riscontrare alcuni elementi che dovrebbero insospettire il ricevente pù attento. |
Questo tentativo di phishing giunge da una falsa mail di POSTE ITALIANE. Il messaggio vuol far credere al malcapitato ricevente che è stato riscontrato un errore nell'acconut online della sua carta PostePay e che è necessario verificare/confermare i dati relativi cliccando sul link riportato a fondo pagina. Analizzando la mail notiamo che il messaggio, conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di POSTE ITALIANE e che contiene un testo generico. Non vi è infatti alcun riferimento sull'intestatario della carta POSTEPAY oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo. |
Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di UBI Banca. Diversamente dalla mail dello scorso 10 ottobre, questa volta il ricevente è invitato ad attivare un presunto servizio di notifica via SMS delle operazioni bancarie che vengono effettuate attraverso l'home banking. L'obiettivo dei cyber-criminali ideatori della truffa resta chiaramente quello di rubare le credenziali di accesso al conto corrente online del ricevente. Ad un primo impatto visivo il messaggio potrebbe essere forviante poichè è impaginato in modo ordinato. Inoltre la presenza del logo di UBI Banca e dei presunti riferimenti identificativi dell'istituto bancario, in modo particolare della partita IVA, potrebbero trarre in inganno l'ignaro destinatario. Anche l'indirizzo del mittente, a colpo d'occhio, potrebbe essere scambiato per quello autentico sebbene il dominio reale dell'ente bancario sia .....(et)ubibanca(dot)it e non (et)sicurezza.ubibanca(dot)it. |
Nell'immagine a sinistra notiamo che il form di autenticazione, che induce l'utente all'inserimento di codice cliente e codice sicurezza, simula quello autentico. Tuttavia l'indirizzo sulla barra del broswer non è ospitato sul dominio di UBI Banca. L'assenza del protocollo HTTPS dovrebbe inoltre far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti. |
Questo phishing si cela dietro una falsa mail di PAYPAL. Il messaggio, che sembra riconducibile al noto sistema di pagamento online è redatto in lingua inglese e segnala all'utente che alcune delle informazioni sul proprio account risultano mancanti o scorrette, invitandolo a verificarle/aggiornarle. Dal punto di vista grafico la mail è impostata in modo ordinato, considerando anche l'accortezza dei creatori di inserire il logo di PAYPAL. Tuttavia un chiaro segnale sull'inattendibilità dell'alert lo possiamo riscontrare nell'anomalia dell'indirizzo del mittente ''norepley(et)webcpl05(dot)internet(dot)gr'' che non appartiene al dominio di PAYPAL. |
Scrutando attentamente la tab del broswer possiamo però notare che l'indirizzo WEB nella barra di navigazione è insolito poichè non è ospitato sul dominio di PAYPAL. Tutto questo per concludere che il form di autenticazione visualizzato nell'immagine a sinistra è stato creato appositamente da cyber-truffatori con lo scopo di entrare in possesso dei vostri dati più preziosi. |
Questo phishing giunge sotto forma di una falsa comunicazione da parte di LOTTOMATICARD. Il messaggio di alert ha come obiettivo quello di ingannare i titolari di carte prepagate LOTTOMATICARD al fine di acquisire i loro codici di accesso all'Home Banking. L'email contraffatta avverte l'utente che la password della sua LOTTOMATICARD è scaduta e che è necessario reimpostarla prima che la carta venga disattivata. Analizzando il corpo del messaggio, nonostante la presenta del logo verosimile di LOTTOMATICARD che potrebbe forviare l'utente meno attento, si può facilmente notare l'uso scorretto della lingua italiana con la presenza di errori ortografici e grammaticali che dovrebbero essere un chiaro segnale dell'inattendibilità dell'alert. |
Dall'immagine sulla sinistra possiamo notare che il link indirizza su un form di autenticazione molto simile a quello di LOTTOMATICARD in cui vengono richiesti dati sensibili quali codice internet, PIN e data di nascita. Tuttavia l'indirizzo URL riportato sulla barra del broswer non è ospitato sul dominio reale di LOTTOMATICARD. Per ingannare ulteriormente il malcapitato destinatario i cyber-criminali hanno avuto l'accorgimento di inserire l'ulteriore link ''Richiedili ora'' che dovrebbe presumibilmente recapitare all'utente i codici internet non ancora ricevuti al titolare dellla LOTTOMATICARD ma che, ovviamente, rimanda ad un'altra pagina malevole come da immagine sottostante. |
Questo phishing si cela dietro una falsa comunicazione di POSTE ITALIANE. Il messaggio vuol far credere al malcapitato ricevente che la sua carta PostePay è stata disattivata e che, per riabilitarla, è necessario verificare/confermare i dati relativi cliccando sul link riportato a fondo pagina. Ad un primo impatto visivo l'attenzione ricade sull'ingente logo di POSTE ITALIANE, molto simile a quello autentico, che è stato inserito dai cyber-truffatori per rendere il messaggio più attendile. Tuttavia la mail non sembra provenire da POSTE ITALIANE poichè l'indirizzo del mittente sembra avere un dominio anomalo. Inoltre il testo della mail è conciso ed essenziale e non menziona il titolare della carta ricaricabile PostePay oggetto dell'alert. |
Questo tentativo di phishing si spaccia per finta mail da parte di ING DIRECT. Il messaggio di alert avvisa il malcapitato ricevente che il suo conto corrente online è stato bloccato a causa di presunte transazioni fraudolente e che, se non si procederà alla verifica entro 24 ore, verrà sospeso. In prima battuta il messaggio potrebbe sembrare attendibile poichè graficamente è impostato in modo ordinato. I cyber-truffatori hanno avuto l'accortezza di inserire in calce alla mail il logo di ING DIRECT oltre a riportare più di un recapito telefonico per rassicurare il destinatario sulla genuinità della comunicazione. Notiamo inoltre che la mail è firmata da un certo ''Damiano Castelli'', un ulteriore dettaglio che potrebbe fare apparire il tutto più credibile. |
Cliccando sul link ''Collegarsi al sito'' si verrà indirizzati su una pagina web ''anomala'' che non ha nulla a che vedere con il sito web reale di ING DIRECT... Bisogna riconoscere che il form di autenticazione che dissimula quello di ING DIRECT, graficamente, è ragionevolmente credibile. |
Questo tentativo di phishing a mezzo mail giunge sotto forma di falsa comunicazione da parte di UBI Banca. Il ricevente viene informato che sono state riscontrate attività irregolari sul suo conto corrente e che, per motivi di sicurezza, quest'ultimo è stato sospeso ed è necessario accedervi per riabilitarlo. Dal punto di vista grafico il messaggio potrebbe sembrare credibile e trarre in inganno l'utente medio in quanto è redatto in modo ordinato e corretto oltre a presentare il logo di UBI Banca. L'indirizzo email del mittente inoltre, sembra provienire dal dominio autentico dell'istituto bancario. Tuttavia, si può facilmente notare che, a differenza di quanto avviene nelle comunicazioni ufficiali di questo tipo, la mail non è indirizzata ad un destinatario preciso; non vengono infatti riportati nome e cognome del titolare del conto ma il messaggio si rivolge ad un generico ''Gentile Cliente di UBI Banca''. |
Questo tentativo di phishing si spaccia per finta email da parte di APPLE con lo scopo di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso a APPLE Store in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica. Dal testo conciso della mail si può intuire che il proprio Apple ID è stato disattivato per motivi di sicurezza. Tuttavia, già in prima battuta, la mail appare poco credibile poichè il messaggio di alert giunge da un indirizzo email <admin(et)lesexport(dot)net> che non sembra provenire dal dominio reale di APPLE. Inoltre i cyber-truffatori non hanno avuto l'accortezza di inserire un logo o dei riferimenti anagrafici che possano ricondurci ad APPLE. |
La pagina di accesso alla gestione dell'Account è però ospitata su un indirizzo / dominio che, ancora una volta, nulla ha a che fare con Apple... Nell'immagine si può notare che la pagina che ospita il form di autenticazione è: www.circleamman(dot)com
Inserendo i dati di accesso all'account APPLE su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili. |
Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza:
Vai alla pagina di download.
|
C.R.A.M. Centro Ricerche Anti-Malware di TG Soft