INDICE dei PHISHING

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di agosto 2024:

30/08/2024 => Poste Italiane
28/08/2024 => Mediaworld
28/08/2024 => Amazon
22/08/2024 => Banca Popolare di Sondrio
16/08/2024 => Aruba - Verifica password
14/08/2024 => WalletConnect
12/08/2024 => BBVA
10/08/2024 => Nexi
08/08/2024 => Smishing Istituto di Credito
08/08/2024 => Account di Posta Elettronica
07/08/2024 => Europages
06/08/2024 => Esselunga
06/08/2024 => Mooney
06/08/2024 => Aruba - Fattura non pagata
05/08/2024 => Smishing - "Mamma ho perso il telefono"

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

• Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

• Prova Vir.IT eXplorer Lite

• Ora disponibile VirIT Mobile Security
  

• Ringraziamenti

• Come inviare e-mail sospette per l'analisi

30 Agosto 2024 ==> Phishing PosteItaliane

OGGETTO: <Importante: Attivare il nuovo sistema di sicurezza>

Ritroviamo questo mese il tentativo di phishing che si cela dietro a una falsa comunicazione giunta apparentemente dal servizio di PosteItaliane, relativamente alla notifica di un nuovo sistema di sicurezza.

Dal link presente nel messaggio veniamo dirottati su una pagina web che dovrebbe simulare il sito ufficiale di PosteItaliane. Sebbene il sito possa trarre in inganno in quanto è stato inserito il noto logo di PosteItaliane notiamo che l'indirizzo url presente sulla barra del broswer è anomalo e non riconducibile a PosteItaliane

<<https[:]//verificacion-*****[.]com/IT-M0MS5/Italia...>> 

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

28 Agosto 2024 ==> Phishing MediaWorld

Di seguito analizziamo i seguenti tentativi di truffa che, diffondendosi massivamente attraverso i social network, si celano dietro ad una falsa comunicazione che sfrutta la nota azienda MediaWorld.
Stavolta, dopo l'ondata di offerte straordinarie di Amazon siamo in presenza di un nuovo ''tsunami'' di promozioni imperdibili. Ecco di seguito 2 esempi, graficamente e testualmente differenti ma che celano lo stesso obiettivo ovvero far credere all'utente di trovarsi di fronte ad una vera e propria occasione da non farsi sfuggire.
Il primo passo per ottenere il/i premio/i sembrerebbe procedere alla compilazione di un semplice e veloce sondaggio, rispondendo solo a 4 domande....o per lo meno così sembrerebbe.
Sicuramente per molti utenti inesperti dietro questo phishing si cela un vero e proprio specchietto per le allodole.
Chiaramente MediaWorld è estranea all'invio massivo di queste campagne malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
A scanso di equivoci si tratta infatti di tentativi di phishing volti a carpire i vostri dati personali..
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.

In prima battuta notiamo che, oltre alle immagini graficamente fuorvianti, per dare maggior credibilità sono stati riportati altresì numerosi commenti di clienti che sembrerebbero aver già partecipato al sondaggio. Sono tutte testimonianze/feedback rassicuranti sulla consegna effettiva della vincita e sul fatto che non si tratti realmente di una truffa....
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna compilando un semplice sondaggio?!
Proviamo quindi a cliccare su ''Scopri di più''/''Ordina subito''. Ecco cosa accade:

Il sondaggio per ottenere il premio è ospitato infatti su un indirizzo/dominio anomalo...
Si tratta della seguente pagina web:

[NomeDominioFake*].info

*NomeDominioFake è un dominio che simula un dominio di brand noto o è un dominio dal nome randomico.

che non ha alcun legame con MediaWorld.
I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che i regali si stanno per esaurire. Viene infatti indicato un timer countdown (1 minuto 19 secondi) che tuttavia, qualora dovesse azzerarsi, come simulato, ripartirebbe da capo subito dopo..cosa alquanto strana. Inoltre sembrerebbe che ci siano solo 10 fortunati che saranno selezionati per l'iottenimento del premio.

Al termine del sondaggio che prevedeva la riposta di 4 domande estrememnte generiche, sembrebbe necessario solo dilettarsi in un semplice giochino per tentare la fortuna:
abbiamo 3 tentativi per riuscire a scovare il premio all'interno di alcuni pacchi regalo..

Ma che fortunelli che siamo..
Dopo 2 tentativi ce l'abbiamo fatta: siamo riusciti ad ottenere la il premio..
Peccato che non sia ancora finita qui.

Ecco la sorpresa: come evidenziato nell'immagine la vincita è condizionata dal pagamento delle spese di spedizione di Euro 2€.
Per invitare l'utente a concludere velocemente sembra oltetutto che il carrello resti risevato ancora per poco (08:52 minuti).
La pagina su cui si viene rimandati, per l'inserimento dei propri dati personali questa volta è ospitata su un indirizzo/dominio diverso rispetto al precedente ma che resta sempre e comunque sospetto:

[NomeDominioFake*].com

In conclusione vi invitiamo sempre a diffidare da messggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

28 Agosto 2024 ==> Phishing AMAZON

Di seguito analizziamo i seguenti tentativi di truffa che, diffondendosi massivamente attraverso i social network, si celano dietro ad una falsa comunicazione che sfrutta la nota azienda Amazon.
Si tratta di un'apparente ''tempesta'' di offerte imperdibili. Ecco il messaggio promozionale:''A causa di un eccesso di scorte, Amazon sta regalando computer portatili con lievi graffi...'' Per ottenere il premio, nello specifico, computer portatili HP o MacBook PRO, Il fortunato utente deve rispondere solo a 4 domande....o per lo meno così sembrerebbe.
Sicuramente per molti utenti inesperti dietro questo phishing si cela un vero e proprio specchietto per le allodole.
Chiaramente Amazon è estranea all'invio massivo di queste campagne malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
A scanso di equivoci si tratta infatti di tentativi di phishing volti a carpire i vostri dati personali..
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.

In prima battuta notiamo che, oltre alle immagini graficamente fuorvianti, per dare maggior credibilità sono stati riportati altresì numerosi commenti di clienti che sembrerebbero aver già partecipato al sondaggio. Sono tutte testimonianze/feedback rassicuranti sulla consegna effettiva della vincita e sul fatto che non si tratti realmente di una truffa....
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna compilando un semplice sondaggio?!
Proviamo quindi a cliccare su ''Richiedi ora''. Ecco cosa accade:

Il sondaggio per ottenere il premio è ospitato infatti su un indirizzo/dominio anomalo...
Si tratta della seguente pagina web:

[NomeDominioFake*].info

*NomeDominioFake è un dominio che simula un dominio di brand noto o è un dominio dal nome randomico.

che non ha alcun legame con Amazon.
I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che i regali si stanno per esaurire. In alto alla videata notiamo che è presente anche un timer countdown che tuttavia, qualora dovesse azzerarsi, come simulato, ripartirebbe da capo subito dopo..cosa alquanto strana.

Ora sembrebbe necessario solo dilettarsi in un semplice giochino per tentare la fortuna:
abbiamo 3 tentativi per riuscire a scovare il computer portatile all'interno di alcuni pacchi regalo..

Ma che fortunelli che siamo..
Dopo 2 tentativi ce l'abbiamo fatta: siamo riusciti ad ottenere la il premio..
Peccato che non sia ancora finita qui.

Ecco la sorpresa: come evidenziato nell'immagine la vincita è condizionata dal pagamento delle spese di spedizione di Euro 1,95.
La pagina su cui si viene rimandati, per l'inserimento dei propri dati personali, è ospitata sempre sullo spetto indirizzo/dominio anomalo, che riportiamo di seguito:

[NomeDominioFake*].info

In conclusione vi invitiamo sempre a diffidare da messggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

22 Agosto 2024 ==> Phishing Banca Popolare di Sondrio

OGGETTO: <SCRIGNObps - Notifica di Sospensione>
 

Il breve messaggio che sembra giungere dalla Banca Popolare di Sondrio , informa il ricevente che il suo account è stato temporaneamente sospeso a causa del mancato aggiornamento di alcune informazioni. Fortunatamente per ripristinare l’accesso all’account di home banking e tutti i servizi ad esso collegati è sufficiente procedere all’aggiornamento delle informazioni richieste cliccando sul seguente link:

Aggiorna Informazioni

Chiaramente la Banca Popolare di Sondrio non ha niente a che fare con l’invio massivo di queste e-mail che sono delle truffe il cui obbiettivo resta, come sempre, quello di rubare le credenziali di accesso all'home banking e/o denaro dell'ignaro ricevente.

Sebbene il cyber-criminale abbia avuto l’accortezza di inserire una grafica rubata, o simile, a quella del noto Istituto Bancario e di far sembrare che la mail provenga realmente dal suo indirizzo ufficiale, ci sono alcuni indizi che dovrebbero insospettire.
Analizzando attentamente l’e-mail infatti, si può notare come il testo sia generico e non fornisca alcun indizio sul tipo di informazioni da aggiornare. Un altro fatto anomalo è che per effettuare l’aggiornamento venga richiesto di inserire le credenziali all’home banking da un link comunicato via mail.

Chi dovesse malauguratamente cliccare sul link Aggiorna Informazioni verrà dirottato su una pagina WEB anomala che non ha nulla a che vedere con il sito ufficiale dalla Banca Popolare di Sondrio, e che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestita da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati di accesso all'home banking per poterli utilizzare a scopi criminali e/o per trasferirne i fondi.

Vi invitiamo sempre a far attenzione anche ai più piccoli dettagli e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori.

 

16 Agosto 2024 ==> Phishing Aruba - Verifica password

OGGETTO: <Final Warning - Verifica password>

Ritroviamo anche questo mese i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

II messaggio informa il ricevente che la password relativa al suo account Aruba scadrà entro 24 ore. Lo informa quindi che per continuare ad utilizzare la stessa password è necessario procedere alla conferma della stessa cliccando sul seguente link:

conferma password

Nel caso in cui la conferma non dovesse avvenire eventuali malfunzionamenti di accesso all’account saranno imputabili solo al ricevente che nonostante l'avviso non ha agito entro il tempo indicato.

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Per indurre il malcapitato a procedere tempestivamente il cyber-criminale concede poco tempo per agire. Tale tecnica ha lo scopo di intimidire l'utente, il quale per il timore di trovarsi impossibilitato ad entrare nel suo account ed utilizzare i servizi ad esso collegati è spinto ad agire immediatamente e senza prestare la dovuta attenzione. 

Chi dovesse malauguratamente cliccare sul link conferma password verrà dirottato su una pagina WEB anomala, che non ha nulla a che vedere con il sito ufficiale di Aruba.

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password da cui potrà poi procedere al rinnovo della password così da avitare malfunzionamenti/blocchi.

La pagina su cui si viene rimandati, per l'inserimento delle proprie credenziali dell'account di Aruba, è ospitata su un indirizzo/dominio anomalo, che riportiamo di seguito:

 https[:]//srv218455[.] hoster-test[.]ru/sec/index....

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

14 Agosto 2024 ==> Phishing WalletConnect

OGGETTO: < Payment notification>
 
Di seguito analizziamo il seguente tentativo di phishing che giunge da una falsa comunicazione da parte di WalletConnect nota azienda di servizi relativi alla gestione di criptovalute.

Il breve messaggio scritto in lingua inglese, informa il ricevente che è stato selezionato per una promozione annuale che comporta la vincita di un premio in denaro. Sfortunatamente,  per ottenere l’omaggio, è prima necessario procedere alla conferma dell’account.

Viene quindi richiesto al ricevente di cliccare sul seguente link per procedere alla conferma:

Verify wallect

Chiaramente la nota azienda di servizi relativi alla gestione di criptovalute non ha niente a che fare con l’invio massivo di queste e-mail che sono delle vere e proprie truffe il cui obbiettivo resta, come sempre, quello di rubare dati sensibili e denaro dell'ignaro ricevente.

Il cyber-criminale ha avuto l’accortezza di far sembrare che la mail provenga realmente dagli indirizzi ufficiali del servizio WalletConnect, così da ingannare un utente poco attento. Analizzando bene il testo del messaggio, ed in particolare il link, si può però subito notare che il sito di destinazione non è affatto riconducibile al servizio ufficiale.

Chi dovesse malauguratamente cliccare sul link Verify wallect verrà dirottato su una pagina WEB anomala che non ha nulla a che vedere con il sito ufficiale di WalletConnect e che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestita da cyber-criminali il cui obiettivo è quello di entrare in possesso dei dati dei wallet di criptovalute per poterli utilizzare a scopi criminali e/o trasferirne i fondi.

12 Agosto 2024 ==> Phishing BBVA

OGGETTO: < Banca Online>
 
Di seguito analizziamo il seguente tentativo di phishing che giunge da una falsa comunicazione da parte di BBVA, noto gruppo bancario multinazionale spagnolo.

II messaggio informa il ricevente che è disponibile un nuovo messaggio e lo invita a controllare la sua casella di posta per maggiori informazioni.

Per farlo è necessario cliccare il seguente link:

Clicca qui e accedi al tuo account

E' logico che se il destinatario non sia effettivamente cliente di BBVA, sia più immediato chiedersi cosa si celi effettivamente dietro questo messaggio anomalo. In ogni caso è quantomeno importante ricordare che in nessun caso gli istituti bancari richiedono ai clienti di fornire dati personali e soprattutto le credenziali di accesso all'home banking attraverso SMS ed e-mail.

Analizzando più attentamente l'e-mail notiamo sin da subito che il messaggio di alert giunge da un indirizzo che chiaramente non proviene dal dominio ufficiale di BBVA, <mail03069(at)couponvantaggiosi(dot)it>, è fondamentale prestare sempre la massima attenzione prima di cliccare su link sospetti.

Chi dovesse malauguratamente cliccare sul link Clicca qui e accedi al tuo account verrà dirottato su una pagina WEB malevola, che non ha nulla a che vedere con il sito ufficiale di BBVA,  ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

10 Agosto 2024 ==> Phishing Nexi

OGGETTO: <Urgente: attivare il nuovo sistema di sicurezza>

Questo nuovo tentativo di phishing si spaccia per una falsa comunicazione di Nexi.

Il messaggio segnala al ricevente che se non attiva il nuovo sistema di sicrezza entro il 12 agosto 2024 non potrà continuare ad utilizzare la sua carta Nexi. Senza il nuovo sistema di scirezza, che dovrebbe garantire una maggiore sicurezza e affidalibilità, non sarà possibile utilizzare la carta. E' possibile attivare il nuovo sistema attraverso il seguente link:

Clicca qui

In prima battuta notiamo che il testo dell'email è molto generico e non è presente alcun dato identificativo del cliente o dell'account collegato. La mail di alert giunge da un indirizzo email <servizio(dot)clienti(at)nexi-it-contact(dot)info> che non proviene chiaramente dal dominio ufficiale di Nexi.

Chi dovesse malauguratamente cliccare sul link Clicca qui verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito ufficiale di Nexi,  ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..

08 Agosto 2024 ==> Smishing Istituto Bancario

Analizziamo di seguito una falsa comunicazione giunta apparentemente da un noto Istituto Bancario ma questa volta il mezzo di trasmissione non è la mail, ma si tratta di smishing, ossia una forma di phishing che però utlizza i telefoni cellulari come mezzo di trasmissione.

Si tratta, nello specifico, di un sms di alert che notifica al destinatario che è stato riscontrato un pagamento di Euro 4.990,00 e lo invita a verificare il pagamento e nel caso non fosse stato lui a inviarlo a contattare il numero di telefono indicato "02828****" .

E' logico che se il destinatario del sms non sia effettivamente cliente dell'Istituto Bancario sia più immediato chiedersi cosa si celi effettivamente dietro questo sms anomalo. In ogni caso è quantomeno importante ricordare che in nessun caso gli istituti bancari richiedono ai clienti di fornire dati personali e soprattutto le credenziali di accesso all'home banking attraverso SMS ed e-mail.
In questo caso l'intento dei cyber-criminali è di portare l'utente, allarmato per la segnalazione della richiesta di pagamento, a chiamare il numero indicato o in altri casi similari a cliccare su link sospetti.

E' buona norma contattare in caso di dubbi i canali ufficiali segnalati sul sito dell'istituto bancario, e non quelli indicati nel messaggio sospetto, in quanto dietro potrebbe celarsi un truffatore che si spaccia per la società legittima.

Segnaliamo altresì gli Istituti Bancari negli ultimi giorni si stanno movimentando per segnalare queste truffe che sono in aumento ai propri clienti attraverso dei messaggi ufficiali.
In particolare si ritiene utile sottolineare che la prassi di contatto tra la Banca e il cliente non avviene mai via sms, ma è piuttosto la Vostra Banca/consulente dedicato a contattarvi.
Riportiamo un esempio del messaggio inviato dalla banca/consulente per avvisare i propri clienti di questi tentativi di truffa, invitando a prestare la massima attenzione:

“Buongiorno, negli ultimi giorni si stanno intensificando dei tentativi di rubare le credenziali di accesso alle varie App bancarie. Si presenta il consueto messaggio (solitamente sms) che uno strano pagamento è stato richiesto e che se non è dovuto di chiamare un numero a volte fisso altre volte cellulare per bloccarlo. Sono fatti abbastanza bene a volte il nome della Banca non è scritto perfettamente o a volte passano dal tu al lei o viceversa. È inutile e superfluo che vi dica di non fare mai quello che chiedono. Per qualsiasi dubbio piuttosto scrivete al Vostro consulente o chiamate i numeri della Banca oppure mandate il messaggio sospetto al Vostro consulente o ai canali ufficiali della Banca, ma senza mai fare nulla! Solo il Vostro consulente è tenuto a contattarvi.”

In conclusione vi invitiamo sempre a diffidare da qualunque form che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto difficilmente distinguibile dall'originale, e dove non vanno inseriti per nessun motivo i dati di accesso al proprio conto corrente bancario, i dati della carta di credito o altri dati sensibili, se non siete certi della provenienza del sito web...in questo modo mettete i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

08 Agosto 2024 ==> Phishing Account Posta Elettronica

OGGETTO: <Azione richiesta: La password della tua casella di posta è scaduta 2024 - ****>

Analizziamo di seguito un nuovo tentativo di phishing che ha l'obiettivo di rubare le credenziali di accesso all'account email.

Il messaggio informa il destinatario che la password del suo account di posta elettronica è in scadenza e che verrà generata un anuova password dal sistema, esattamente dopo 3 ore dall'apertura del messaggio. Lo invita quindi a continuare ad usare la password corrente, attraverso il seguente link:

Mantenere la password corrente

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al server di posta elettronica dove è ospitato l'account <info[at]qiwipsa[dot]ooguy[dot]com>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Se dovessimo tuttavia proseguire e cliccare sul link presente verremmo dirottati su una pagina WEB malevola che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.
Alla luce di queste considerazioni segnaliamo di NON inserire mai le proprie credenziali su siti di cui non si conosce la provenienza, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

07 Agosto 2024 ==> Phishing EuroPages

«OGGETTO: <Friedrich dalla Germania ti ha inviato un messaggio di richiesta relativo al tuo prodotto>

Ritroviamo questo mese il seguente tentativo di phishing che sembra provenire da una falsa comunicazione di EuroPages e che ha l'obiettivo di rubare le credenziali di accesso all'account del malcapitato.

Il messaggio sembra provenire da EuroPages, la più grande piattaforma di sourcing B2B internazionale, e notifica all'utente che è arrivato un messaggio relativo al suo prodotto elencato su EuroPages da parte di un certo "Leonardo Rossi". Quindi invita l'utente ad accedere al suo account per visualizzare il messaggio di richiesta, attraverso il seguente link:

ACCEDI AL MIO ACCOUNT

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di EuroPages <info(at)depramaterieplastiche(dot)it>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.


Chi dovesse malauguratamente cliccare sul link ACCEDI AL MIO ACCOUNT verrà dirottato su una pagina WEB anomala, che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali...

06 Agosto 2024 ==> Phishing ESSELUNGA

OGGETTO: <Notifica di ritardato pagamento. Impossibile consegnare il pacco. ! CcTsw>

Di seguito analizziamo il seguente tentativo di truffa che si cela dietro ad una falsa comunicazione che sfrutta la nota azienda della grande distribuzione Esselunga.

Si tratta nello specifico di un messaggio promozionale che sembra proporre un'occasione imperdibile. Il fortunato utente è stato selezionato per partecipare alla promozione mensile in corso, attraverso un sondaggio che gli permetterà di vincere un premio, nello specifico un Set da Tupperware Modular Mates...o per lo meno così sembrerebbe.
Sicuramente per molti utenti inesperti dietro questo phishing si cela un vero e proprio specchietto per le allodole.
Chiaramente  Esselunga è estranea all'invio massivo di queste campagne malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
A scanso di equivoci si tratta infatti di un tentativo di phishing volto a carpire i vostri dati personali..
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.

Già analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di  Esselunga <fabiano(dot)iacuzzi[at]mst-techsrl[dot]com>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci. Se dovessimo tuttavia proseguire e cliccare sul link presente ecco cosa accadrebbe:
Veniamo dirottati su una pagina di ''atterraggio'' che, sebbene graficamente ben fatta (con immagini fuorvianti e il logo autentico di  Esselunga) non sembra per nulla attendibile.
Il sondaggio per ottenere il premio è ospitato infatti su un indirizzo/dominio anomalo...
Si tratta della seguente pagina web:

"https[:]/quickblended[.]sbs/ijyv/etna.....''

che non ha alcun legame con Esselunga.
I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che l'offerta scade in giornata. In calce alla videata notiamo che è presente anche un timer countdown che tuttavia, qualora dovesse azzerarsi, come simulato, ripartirebbe da capo subito dopo..cosa alquanto strana.

Cliccando su INIZIA IL SONDAGGIO, si viene rimandati alle schermate successive, dove viene richiesto di rispondere a 8 domande.


''Congratulazioni! Abbiamo riservato (1) 36 Piece Tupperware Modular Set esclusivamente per te.''

Ci siamo: basterà infatti inserire il proprio indirizzo di spedizione e pagare le spese di spedizione e in 5-7 giorni lavorativi il premio verrà consegnato....

Per dare maggior credibilità sono stati riportati altresì numerosi commenti di clienti che sembrerebbero aver già partecipato al sondaggio. Sono tutte testimonianze/feedback rassicuranti sulla consegna effettiva della vincita e sul fatto che non si tratti realmente di una truffa.....
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!
A questo punto, cliccando su Continua si viene rimandati su un'ulteriore pagina per l'inserimento del proprio indirizzo per la spedizione e il pagamento delle spese di spedizione.  La pagina su cui si viene rimandati, per l'inserimento dei propri dati personali, è ospitata su un nuovo indirizzo/dominio anomalo, che riportiamo di seguito:

https[:]//recurring[.]sbs/c/D0UHqh.....

In conclusione vi invitiamo sempre a diffidare da messggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

06 Agosto 2024 ==> Phishing Mooney

OGGETTO: < Avvertimento ! >
 
Di seguito analizziamo il seguente tentativo di phishing che giunge da una falsa comunicazione da parte di Mooney, la società italiana di Proximity Banking & Payments.

II messaggio informa il ricevente che il suo account è temporaneamente bloccato per motivi di sicurezza.
Lo invita quindi ad effettuare l'aggiornamento del suo profilo, per confermare i suoi dati, seguendo i passaggi di sicurezza indicati attraverso il seguente link:

ACCEDI E ORA

Questa volta la campagna di phishing simula una comunicazione che sembra provenire dalla società italiana di pagamenti online Mooney, che chiaramente è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo sin da subito che il messaggio di alert giunge da un indirizzo e-mail che non sembra riconducibile al dominio di Mooney <rosalia(dot)deleon(at)bioteksa(dot)com>, anche se il cybercriminale ha avuto l'accortezza di inserire il noto logo della società, prestiamo sempre la massima attenzione prima di cliccare su link sospetti.

Chi dovesse malauguratamente cliccare sul link ACCEDI E ORA verrà dirottato sulla pagina visualizzata.

Come possiamo notare, innazitutto, la pagina di atterraggio, simula graficamente la pagina ufficiale di Mooney e questo potrebbe trarre in inganno un utente spinto dalla fretta di mettere in sicurezza il proprio account.
Sebbene la fretta e il timore di ritrovarsi con l'accoutn sospeso possano spingere l'utente a inserire i propri dati di accesso, è però sempre necessario soffermarsi sull'indirizzo url riportato sulla barra del broswer per rendersi conto che il form di accesso non risiede sul dominio ufficiale di Mooney:

http[:]//hry[.]hzh[.]mybluehost[.]me/zodan/bonifico/38f5c74da9aaed2fcc54/

Vi invitiamo pertanto a ricordare che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche banale.
Procedendo all'inserimento dei dati richiesti, nello specifico i dati della carta di credito, questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno a scopi criminali..

06 Agosto 2024 ==> Phishing Aruba - Fattura non pagata

OGGETTO: <fattura non pagata #ARUBA1628542>

Ritroviamo anche questo mese i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

Il messaggio informa il ricevente che il suo dominio ospitato su Aruba collegato al suo account di posta elettronica scadrà il giorno 07/08/2024. Lo informa quindi che per rinnovare tutti i suoi servizi che sta già utilizzando, deve completare l'ordine e scegliere la modalità di pagamento più comoda. Se non completa il pagamento veranno disattivati tutti servizi collegati al suo account, comprese le caselle di posta elettronica, non potrà più quindi ricevere e inviare messaggi.
Invita quindi l'utente a effettuare il login per completare il pagamento, attraverso il seguente link:

RINNOVA CON UN CLIC

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <belbala1(at)gommautorecco(dot)it> non proviene dal dominio ufficiale di Aruba.
Per indurre il malcapitato a procedere tempestivamente al rinnovo della propria casella postale viene indicata la scadenza del 07/08/2024. Considerando che la mail è stata recapitata il giorno prima sembra non ci sia poi molto tempo a disposizione per effettuare il rinnovo ed impedire la disattivazione dei servizi. La tecnica di indicare un termine entro il quale poter concludere la procedura ha, senza dubbio, lo scopo di intimare l'utente, spinto dal timore di ritrovarsi con la sua casella e-mail disattivata, ad agire immediatamente e senza pensarci troppo. 

Chi dovesse malauguratamente cliccare sul link RINNOVA CON UN CLIC verrà dirottato sulla pagina visualizzata.

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password da cui potrà poi procedere al rinnovo del dominio ed evitare così di incorrere nel blocco dei servizi ad esso collegati.

Sebbene il sito possa trarre in inganno in quanto è stato inserito il noto logo di Aruba, notiamo che l'indirizzo url presente sulla barra del broswer è anomalo e non riconducibile al dominio ufficiale:

https[:]//accountid7278info[.]org/netfrediar/login[.]php

Procedendo all'inserimento dei dati in siti web contraffatti, infatti, questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per scopi criminali. Vi invitiamo pertanto a ricordare che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche banale.

05 Agosto 2024 ==> Smishing "Mamma ho perso il telefono"

Analizziamo di seguito il tentativo di TRUFFA che circola via SMS che si cela dietro a una richiesta di aiuto da parte di un presunto familiare.

Se ricevete un sms da parte di un presunto familiare che vi invia il suo nuovo numero di telefono, attraverso un link in quanto quello in possesso è andato perso/rubato/non funzionante, prestate la massima attenzione e non abbocate in queste TRUFFE!

Questo tipo di frode è già stata segnalata più volte nel web, lo scopo del cybercriminale è quello di avviare una conversazione con la vittima, facendole credere che il proprio familiare sia in una situazione emergenziale e abbia bisogno di un aiuto economico. Lo scopo quindi è quello di sottrarre delle somme di denaro.

Cosa fare se ricevete questo SMS?

Riportiamo di seguito il testo del SMS:
La prima cosa da fare in questi casi, se avete dei sospetti, è verificare che il numero di telefono del vostro familiare in vostro possesso sia funzionane e nel caso provare a contattarlo anche attraverso altri canali come i social.

In questi casi è fondamentale non farsi prendere dalla fretta e prestare la massima attenzione, verificate sempre il mittente in caso di dubbi, e bloccate il numero coinvolto o ignorate il messaggio. Ad ogni modo è sempre buona norma non cliccare su link sospetti, se non si è certi della loro provenienza.

 

Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:

04/07/2024 17:22 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di luglio 2024...
03/06/2024 17:22 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di giugno 2024...
03/05/2024 11:56 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di maggio 2024...
03/04/2024 10:23 - Phishing: i tentativi di furto credenziali e/o dati maggiormente diffusi nel mese di aprile 2024...
04/03/2024 10:42 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2024..
06/02/2024 08:55 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2024...
02/01/2024 16:04 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2024...
11/12/2023 09:39 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2023...
03/11/2023 08:58 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2023...
03/10/2023 16:35 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2023...
05/09/2023 10:35 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2023...
01/08/2023 17:33 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di agosto 2023...
03/07/2023 10:23 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2023...

Se non doveste ancora utilizzare Vir.IT eXplorer PRO è consigliabile installare, ad integrazione dell'antivirus in uso per aumentare la sicurezza dei vostri computer, PC e SERVER indifferentemente, Vir.IT eXplorer Lite -FREE Edition-.

Vir.IT eXplorer Lite ha le seguenti caratteristiche peculiari:

• liberamente utilizzabile sia in ambito privato sia in ambito aziendale con aggiornamenti Motore+Firme senza limitazioni temporali;
• completamente interoperabile con altri software AntiVirus e/o prodotti per l'Internet Security (sia gratuiti che commerciali) già installati sul proprio computer, senza doverli disinstallare e senza provocare rallentamenti, poichè sono state opportunamente ridotte alcune funzionalità per garantirne l'interoperabilità con il software AntiVirus già presente sul PC/Server. Questo però permette il controllo incrociato mediante la scansione.
• identifica e, in moltissimi casi, anche rimuove la maggior parte dei virus/malware realmente circolanti o, in alternativa, ne permette l'invio al C.R.A.M. Centro Ricerche Anti-Malware di TG Soft per l'analisi e l'aggiornamento di Vir.IT eXplorer per l'univoca identificazione e la corretta rimozione;
• grazie alla tecnologia Intrusione Detection, resa disponibile anche nella versione Lite di Vir.IT eXplorer, il software è in grado di segnalare eventuali virus/malware di nuova generazione che si siano posti in esecuzione automatica e procedere all'invio dei file segnalati al C.R.A.M. di TG Soft.
• Procedi al  download di Vir.IT eXplorer Lite dalla pagina ufficiale di distribuzione del sito di TG Soft.

 

VirIT Mobile Security AntiMalware ITALIANO per TUTTI i dispositivi Android^TM

VirIT Mobile Security software Anti-Malware Italiano che protegge smartphone e tablet Android™, da intrusioni di Malware ed altre minacce indesiderate, e che dà la possibilità all'utente di salvaguardare la propria privacy con un approccio euristico avanzato (Permission Analyzer).
 

TG Soft rende disponibile gratuitamente VirIT Mobile Security accedendo al market di Google Play Store (https://play.google.com/store/apps/details?id=it.tgsoft.virit) dal quale è possibile prelevare la versione Lite, liberamente utilizzabile sia in ambito privato che aziendale.

E’ possibile eseguire il passaggio alla versione PRO, acquistandolo direttamente dal nostro sito=> clicca qui per ordinare

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.

Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:

1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliendo come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi. Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti. Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).

Per maggiori approfondimenti su come inoltrare in sicurezza e-mail sospette vi invitiamo a consultare la seguente pagina pubblica: Come inviare e-mail sospette per l'analisi
Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.


C.R.A.M. Centro Ricerche Anti-Malware di TG Soft

p-3