Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di ottobre 2016. Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

INDICE dei PHISHING 29/10/2016 ==> WIND 29/10/2016 ==> eBay in lingua inglese 28/10/2016 ==> POSTEPAY 20/10/2016 ==> UBI Banca 19/10/2016 ==> PAYPAL in lingua inglese 18/10/2016 ==> LOTTOMATICARD 18/10/2016 ==> POSTE ITALIANE 13/10/2016 ==> ING DIRECT 10/10/2016 ==> UBI Banca 01/10/2016 ==> APPLE Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

29 ottobre 2016 ==> Phishing WIND

«OGGETTO: <Bonus : 214055288>

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte della nota compagnia telefonica WIND. Il messaggio annuncia al destinatario che, se effettua una ricarica telefonica online entro il 10/2016 gli sarà riconosciuto del credito omaggio. Chiaramente si tratta di una truffa volta ad ammaliare l'ignaro destinatario convinto di poter usufruire di una promozione che sembrerebbe accordargli in omaggio il doppio del credito ricaricato. In poche parole, un vero e proprio specchietto per le allodole.  L'obiettivo dei cyber-criminali ideatori della truffa resta chiaramente quello di rubare i codici della carta di credito del ricevente. Ad un primo impatto visivo il messaggio potrebbe essere forviante soprattutto per la presenza del logo di WIND che rende il messaggio più credibile. Tuttavia il messaggio giunge da un indirizzo email anomalo, non proveniente dal dominio effettivo di WIND.

L'intento dei cyber-truffatori è quello di indurre l'ignaro destinatario a cliccare sul link

''? Accedi ai servizi online per ricevere il Bonus''

che rimanda ad una pagina WEB malevole, fortunatamente non più raggiungibile, che non ha nulla a che vedere con il sito WEB di WIND.

In conclusione vi invitiamo sempre a diffidare da qualunque email che, offrendo ''bonus'' o ''premi'', preveda l'inserimento di dati riservati come i codici della propria carta di credito invitandovi a cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

29 ottobre 2016 ==> Phishing eBay in lingua inglese

«OGGETTO: <Unauthorized use of your account --- Please contact us ''indirizzo email del destinatario''>

Questo phishing si cela dietro una falsa mail di eBay. Il messaggio, che sembra riconducibile al noto sito di vendita online è redatto in lingua inglese e segnala all'utente che il suo account eBay è stato temporaneamente bloccato poichè sono state rilevate transazioni fraudolente e che per riabilitarlo è necessario modificare/aggiornare tempestivamente le credenziali di accesso. Vengono successivamente fornite istruzioni dettagliate su come ripristinare l'account, rassicurando l'utente che le misure addottate sono volte a garantire la protezione dei suoi dati riservati. Chiaramente si tratta di un'email contraffatta in cui è possibile riscontrare alcuni elementi che dovrebbero insospettire il ricevente pù attento.

In prima battuta, possiamo notare che il messaggio giunge da un indirizzo email norepley2(et)ebay(dot)com credibile, poichè sembrerebbe provenire dal dominio effettivo di eBay.
Tuttavia si può facilmente constatare che la mail è generica; fatta eccezione per l'indirizzo email, non vengono infatti riportati riferimenti sull'intestatario dell'account eBay oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Inoltre i cyber-truffatori non hanno avuto l'accortezza di inserire un logo o dei riferimenti anagrafici che possano ricondurci ad eBay.

Lo scopo è quello di indurre il malcapitato ricevente a cliccare su uno dei tre link evidenziati nell'immagine che rimandano a pagine WEB malevoli, fortunatamente ad oggi non più raggiungibili, che non hanno nulla a che vedere con il noto sito WEB di eBay poichè ospitate su domini anomali.

28 ottobre 2016 ==> Phishing POSTEPAY

«OGGETTO: <Notifica PostePay>

Questo tentativo di phishing giunge da una falsa mail di POSTE ITALIANE. Il messaggio vuol far credere al malcapitato ricevente che è stato riscontrato un errore nell'acconut online della sua carta PostePay e che è necessario verificare/confermare i dati relativi cliccando sul link riportato a fondo pagina. Analizzando la mail notiamo che il messaggio, conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di POSTE ITALIANE e che contiene un testo generico. Non vi è infatti alcun riferimento sull'intestatario della carta POSTEPAY oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Il link riportato in calce

''https://securelogin(dot)bp(dot)poste(dot)it............''

dirotta su una pagina internet ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

Ad ogni modo vi segnaliamo, fortunatamente, che l'indirizzo web non è più raggiungibile.

20 ottobre 2016 ==> Nuovo Phishing UBI Banca..

«OGGETTO: <Aggiornamento di sicurezza>

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di UBI Banca. Diversamente dalla mail dello scorso 10 ottobre, questa volta il ricevente è invitato ad attivare un presunto servizio di notifica via SMS delle operazioni bancarie che vengono effettuate attraverso l'home banking. L'obiettivo dei cyber-criminali ideatori della truffa resta chiaramente quello di rubare le credenziali di accesso al conto corrente online del ricevente. Ad un primo impatto visivo il messaggio potrebbe essere forviante poichè è impaginato in modo ordinato. Inoltre la presenza del logo di UBI Banca e dei presunti riferimenti identificativi dell'istituto bancario, in modo particolare della partita IVA, potrebbero trarre in inganno l'ignaro destinatario. Anche l'indirizzo del mittente, a colpo d'occhio, potrebbe essere scambiato per quello autentico sebbene il dominio reale dell'ente bancario sia .....(et)ubibanca(dot)it e non (et)sicurezza.ubibanca(dot)it.

Analizzando attentamente il messaggio però si può facilmente notare che, a differenza di quanto avviene nelle comunicazioni ufficiali di questo tipo, la mail non è indirizzata ad un destinatario preciso; non vengono infatti riportati nome e cognome del titolare del conto ma il messaggio si rivolge ad un generico ''Gentile Cliente''.

L'ignaro destinatario che, malauguratamente, dovesse premere sul link ''Clicca qui'' verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito dell'ente bancario.

Nell'immagine a sinistra notiamo che il form di autenticazione, che induce l'utente all'inserimento di codice cliente e codice sicurezza, simula quello autentico. Tuttavia l'indirizzo sulla barra del broswer non è ospitato sul dominio di UBI Banca. L'assenza del protocollo HTTPS dovrebbe inoltre far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

19 ottobre 2016 ==> Phishing PAYPAL in lingua inglese

«OGGETTO: <Some informations on your account appears to be missing or incorrect>

Questo phishing si cela dietro una falsa mail di PAYPAL. Il messaggio, che sembra riconducibile al noto sistema di pagamento online è redatto in lingua inglese e segnala all'utente che alcune delle informazioni sul proprio account risultano mancanti o scorrette, invitandolo a verificarle/aggiornarle. Dal punto di vista grafico la mail è impostata in modo ordinato, considerando anche l'accortezza dei creatori di inserire il logo di PAYPAL. Tuttavia un chiaro segnale sull'inattendibilità dell'alert lo possiamo riscontrare nell'anomalia dell'indirizzo del mittente ''norepley(et)webcpl05(dot)internet(dot)gr'' che non appartiene al dominio di PAYPAL.

L'utente maldestro che sbadatamente dovesse cliccare sul link ''Update account'' nella convinzione di poter aggiornare i dati relativi al suo account PAYPAL si ritroverà dirottato su un FORM analogo a quello di PAYPAL in cui sarà richiesto di inserire indirizzo email e password.

Scrutando attentamente la tab del broswer possiamo però notare che l'indirizzo WEB nella barra di navigazione è insolito poichè non è ospitato sul dominio di PAYPAL. Tutto questo per concludere che il form di autenticazione visualizzato nell'immagine a sinistra è stato creato appositamente da cyber-truffatori con lo scopo di entrare in possesso dei vostri dati più preziosi.

18 ottobre 2016 ==> Phishing LOTTOMATICARD

«OGGETTO: <F5EF8F5EF - La sua password e scaduta>

Questo phishing giunge sotto forma di una falsa comunicazione da parte di LOTTOMATICARD. Il messaggio di alert ha come obiettivo quello di ingannare i titolari di carte prepagate LOTTOMATICARD al fine di acquisire i loro codici di accesso all'Home Banking. L'email contraffatta avverte l'utente che la password della sua LOTTOMATICARD è scaduta e che è necessario reimpostarla prima che la carta venga disattivata. Analizzando il corpo del messaggio, nonostante la presenta del logo verosimile di LOTTOMATICARD che potrebbe forviare l'utente meno attento, si può facilmente notare l'uso scorretto della lingua italiana con la presenza di errori ortografici e grammaticali che dovrebbero essere un chiaro segnale dell'inattendibilità dell'alert.

Inoltre il messaggio, proveniente da un indirizzo email estraneo al dominio di LOTTOMATICARD contiene un testo molto generico. Non vi è infatti alcun riferimento sull'intestatario della carta LOTTOMATICARD, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

L'intento dei cyber-truffatori è quello di indurre l'ignaro destinatario a cliccare sul link

''==>Procedi per cambiare la password ...''

che rimanda ad una pagina che non ha nulla a che vedere con il sito WEB di LOTTOMATICARD.

Dall'immagine sulla sinistra possiamo notare che il link indirizza su un form di autenticazione molto simile a quello di LOTTOMATICARD in cui vengono richiesti dati sensibili quali codice internet, PIN e data di nascita. Tuttavia l'indirizzo URL riportato sulla barra del broswer non è ospitato sul dominio reale di LOTTOMATICARD. Per ingannare ulteriormente il malcapitato destinatario i cyber-criminali hanno avuto l'accorgimento di inserire l'ulteriore link ''Richiedili ora'' che dovrebbe presumibilmente recapitare all'utente i codici internet non ancora ricevuti al titolare dellla LOTTOMATICARD ma che, ovviamente, rimanda ad un'altra pagina malevole come da immagine sottostante.

Lo scopo è sempre quello di persuadere l'utente ad inserire i codici relativi alla sua LOTTOMATICARD che, se introdotti sul form, saranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale.

18 ottobre 2016 ==> Phishing POSTE ITALIANE

«OGGETTO: <Notifica PostePay>

Questo phishing si cela dietro una falsa comunicazione di POSTE ITALIANE. Il messaggio vuol far credere al malcapitato ricevente che la sua carta PostePay è stata disattivata e che, per riabilitarla, è necessario verificare/confermare i dati relativi cliccando sul link riportato a fondo pagina. Ad un primo impatto visivo l'attenzione ricade sull'ingente logo di POSTE ITALIANE, molto simile a quello autentico, che è stato inserito dai cyber-truffatori per rendere il messaggio più attendile. Tuttavia la mail non sembra provenire da POSTE ITALIANE poichè l'indirizzo del mittente sembra avere un dominio anomalo. Inoltre il testo della mail è conciso ed essenziale e non menziona il titolare della carta ricaricabile PostePay oggetto dell'alert.

Il link riportato in calce

https://securelogin(dot)bp(dot)poste(dot)it

dirotta su una pagina internet ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

Ad ogni modo vi segnaliamo, fortunatamente, che l'indirizzo web non è più raggiungibile.

13 ottobre 2016 ==> Phishing ING DIRECT

«OGGETTO: <''indirizzo email'' servizio on-line bloccato!>

Questo tentativo di phishing si spaccia per finta mail da parte di ING DIRECT. Il messaggio di alert avvisa il malcapitato ricevente che il suo conto corrente online è stato bloccato a causa di presunte transazioni fraudolente e che, se non si procederà alla verifica entro 24 ore, verrà sospeso. In prima battuta il messaggio potrebbe sembrare attendibile poichè graficamente è impostato in modo ordinato. I cyber-truffatori hanno avuto l'accortezza di inserire in calce alla mail il logo di ING DIRECT oltre a riportare più di un recapito telefonico per rassicurare il destinatario sulla genuinità della comunicazione. Notiamo inoltre che la mail è firmata da un certo ''Damiano Castelli'', un ulteriore dettaglio che potrebbe fare apparire il tutto più credibile.

Osservando scrupolosamente l'alert si può tuttavia notare che l'indirizzo email del mittente è anomalo e che il testo, contenente notevoli errori sintattici, è indirizzato ad un generico ''Gentile Cliente'', non riportando nome e cognome del titolare del conto corrente.

Cliccando sul link ''Collegarsi al sito'' si verrà indirizzati su una pagina web ''anomala'' che non ha nulla a che vedere con il sito web reale di ING DIRECT... Bisogna riconoscere che il form di autenticazione che dissimula quello di ING DIRECT, graficamente, è ragionevolmente credibile.

 
Tutto questo per concludere che i dati eventualmente inseriti nel form fasullo non verranno trasmessi ai server di ING DIRECT ma ad un server remoto gestito da cyber-truffatori che se ne appropieranno con tutti i rischi annessi e connessi facilmente immaginabili.

10 ottobre 2016 ==> Phishing UBI Banca

«OGGETTO: <Assistenza operativa Clienti>

Questo tentativo di phishing a mezzo mail giunge sotto forma di falsa comunicazione da parte di UBI Banca. Il ricevente viene informato che sono state riscontrate attività irregolari sul suo conto corrente e che, per motivi di sicurezza, quest'ultimo è stato sospeso ed è necessario accedervi per riabilitarlo. Dal punto di vista grafico il messaggio potrebbe sembrare credibile e trarre in inganno l'utente medio in quanto è redatto in modo ordinato e corretto oltre a presentare il logo di UBI Banca. L'indirizzo email del mittente inoltre, sembra provienire dal dominio autentico dell'istituto bancario. Tuttavia, si può facilmente notare che, a differenza di quanto avviene nelle comunicazioni ufficiali di questo tipo, la mail non è indirizzata ad un destinatario preciso; non vengono infatti riportati nome e cognome del titolare del conto ma il messaggio si rivolge ad un generico ''Gentile Cliente di UBI Banca''.

L'obbiettivo è quello di indurre il ricevente a cliccare sul link

''https://www.ubibanca.com/login/aggiornamento/conferma''

che, sebbene sembra corrispondere all'indirizzo web reale di UBI Banca,  rimanda ad un sito fasullo che invita ad inserire i dati del conto corrente per poi essere inviati ad un server remoto mantenuto da cyber-truffatori per usi di loro maggiore interesse e profitto.

01 ottobre 2016 ==> Phishing APPLE

«OGGETTO: <Notifica Apple>

Questo tentativo di phishing si spaccia per finta email da parte di APPLE con lo scopo di indurre, con l'inganno, chi la riceve ad inserire le credenziali di accesso a APPLE Store in una pagina web che però non ha nulla a che vedere con la nota azienda di informatica. Dal testo conciso della mail si può intuire che il proprio Apple ID è stato disattivato per motivi di sicurezza. Tuttavia, già in prima battuta, la mail appare poco credibile poichè il messaggio di alert giunge da un indirizzo email <admin(et)lesexport(dot)net> che non sembra provenire dal dominio reale di APPLE. Inoltre i cyber-truffatori non hanno avuto l'accortezza di inserire un logo o dei riferimenti anagrafici che possano ricondurci ad APPLE.

L'obbiettivo è quello di indurre l'ignaro ricevente a cliccare sul link

Riattiva il tuo Apple ID adesso che, ci preme precisarlo, rimanda ad una pagina web anomala, che non ha nulla a che vedere con il sito ufficale di APPLE ma che, come si può vedere dall'immagine riportata in calce è impostata in modo ragionevolmente ingannevole per un utente inesperto.

La pagina di accesso alla gestione dell'Account è però ospitata su un indirizzo / dominio che, ancora una volta, nulla ha a che fare con Apple... Nell'immagine si può notare che la pagina che ospita il form di autenticazione è: www.circleamman(dot)com   Inserendo i dati di accesso all'account APPLE su questo FORM per effettuare la verifica/conferma degli stessi, quest'ultimi verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
03/09/2016 12:17:53 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2016...
01/08/2016 08:50:27 - Phishing: le frodi maggiormente diffuse nel mese di agosto 2016...
01/07/2016 12:24:06 - Phishing: le frodi maggiormente diffuse nel mese di luglio 2016...
03/06/2016 08:33:29 - Phishing: le frodi maggiormente diffuse nel mese di giugno 2016...
10/05/2016 18:22:09 - Phishing: le frodi maggiormente diffuse nel mese di maggio 2016...
06/05/2016 15:26:16 - Phishing: le frodi maggiormente in circolazione (aprile 2016)...

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza: TG Soft rende disponibile Vir.IT eXplorer Lite liberamente utilizzabile sia in ambito privato che in ambito aziendale; Vir.IT eXplorer Lite è stato specificatamente progettato per essere utilizzato ad integrazione di qualsiasi altro AV o Internet Security già presenti sul computer, senza doverli disinstallare o disabilitarne moduli, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità poichè la sicurezza non è mai abbastanza. Vai alla pagina di download.

C.R.A.M. Centro Ricerche Anti-Malware di TG Soft