Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di novembre 2016. Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

INDICE dei PHISHING 29/11/2016 ==> CartaSi 29/11/2016 ==> UniCredit Group 26/11/2016 ==> PostePay 24/11/2016 ==> Poste Italiane 24/11/2016 ==> WhatsApp 23/11/2016 ==> PostePay 22/11/2016 ==> American Express 16/11/2016 ==> POSTE ITALIANE 16/11/2016 ==> LOTTOMATICARD 15/11/2016 ==> Intesa Sanpaolo 14/11/2016 ==> Alibaba 13/11/2016 ==> TIM 12/11/2016 ==> BancoPosta 10/11/2016 ==> WhatsApp 07/11/2016 ==> POSTEPAY 07/11/2016 ==> WhatsApp 04/11/2016 ==> POSTEPAY 02/11/2016 ==> POSTEPAY 02/11/2016 ==> DE CECCO Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

29 novembre 2016 ==> Phishing CartaSi

«OGGETTO: <CartaSi Informa>

Questa mail di phishing giunge da una falsa mail di CartaSi.

Al ricevente viene notificato che, per motivi di sicurezza, il suo account CartaSi è stato disabilitato essendo stati registrati uno o più tentativi di accesso da un indirizzo IP non abituale. Per continuare ad usufruire dei servizi online offerti è necessario quindi verificare/aggiornare i dati relativi all'account compilando il form html in allegato.
I cyber-criminali ideatori della truffa hanno cercato di redigere una mail per quanto possibile credibile e riconducibile a CartaSi.
L' indirizzo email da dove giunge l'alert CartaSi_Informa(at)cartasi(dot)it sembra attendibile contenendo il dominio effettivo di CartaSi.

Sul fondo della mail inoltre, proprio a voler rassicurare l'utente sulla genuinità del messaggio sono stati riportati dei FALSI dati identificativi di CartaSi:
____________________________________________________
CartaSi S.p.A. (C) 2016  | P.IVA 04107060966 - Tutti i diritti riservati.

Ad insospettirci tuttavia è il testo generico del messaggio che si rivolge ad un ''Gentile cliente'' non facendo alcun riferimento al titolare della carta di credito CartaSi oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.


Lo scopo del messaggio è quello di indurre il ricevente ad aprire la pagina web html in allegato e a compilare il FALSO form di autenticazione in locale che lo invita ad inserire i dati relativi al suo account e soprattutto alla sua carta di credito CartaSi quali numero della carta, data di scadenza e codice di sicurezza.

 


Il fatto di dover compilare un FORM di autenticazione di un ente bancario come CartaSi in locale dovrebbe quantomai destare sospetto.
Infatti presumibilmente la pagina web dove vengono indirizzati i dati del form, successivamente al loro inserimento ed inoltro, è ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

29 novembre 2016 ==> Phishing UniCredit Group

«OGGETTO: <UniCredit Group Services>

Il seguente tentativo di phishing si spaccia per finta email da parte di UniCredit Group.

Il messaggio invitata il malcapitato ricevente a collegarsi all' home banking di UniCredit Group per completare ''tutti i passaggi'' relativi al suo account e per impedire che l'accesso al conto corrente online venga sospeso.

A colpo d'occhio notiamo subito che l'indirizzo email del mittente do_not_reply(at)unicredit(dot)it è ingannevole; sembrerebbe infatti provenire dall'ente bancario poichè contiene il dominio reale di Unicredit Group e questo potrebbe indurre un utente incauto a cliccare sul link malevole Clicca qui per leggere .

Tuttavia, oltre a non essere presente alcun dato identificatico o accorgimento grafico che possa ricondurci al noto ente bancario, la richiesta della mail, poco chiara e precisa dovrebbe quanto mai insospettirci. Il testo inoltre è estremamente generico e non contiene riferimenti al titolare del conto corrente UniCredit Group oggetto dell'alert, diversamente da quanto avviene nella maggior parte delle comunicazioni ufficiali e autentiche di questo tipo.


Fortunatamente il link Clicca qui per leggere riportato nella mail dirotta su una pagina internet che è già stata gia segnalata come pagina /SITO INGANNEVOLE in quanto il suo dominio non aveva nulla a che fare con UniCredit Group essendo ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

24 novembre 2016 ==> Phishing PostePay

«OGGETTO: <PostePay>

Ancora una volta siamo in presenza di un tentativo di phishing proveniente da una falsa comunicazione di PostePay in cui il malcapitato ricevente viene invitato a confermare/verificare le informazioni relative al suo conto corrente online essendo stati risocntrati degli errori.

In prima battuta notiamo subito che l'indirizzo email del mittente info(at)rsnews(dot)ru è anomalo poichè non ha alcun legame con PostePay. Inoltre, come per la maggior parte dei phishing, il testo, estremamente essenziale,  è generico; non contiente infatti alcun riferimento al titolare della PostePay oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Lo scopo è sempre quello di indurre il destinatario a cliccare sul link

Verifica adesso

che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con PostePay.

Nell'immagine notiamo che, nonostante la Tab del broswer abbia come titolo ''Login'', il form di autenticazione che induce l'utente ad inserire i codici di accesso al suo conto corrente online, seppur molto simile a quello reale, non è ospitato sul dominio di PosteItaliane.

Concludendo, vi invitiamo a prestare la massima attenzione a queste mail che, seppur apparentemente credibili, sono dei tentativi di frode/truffa che cercano di indurvi a rivelare dati personali importanti come, in questo caso, le credenziali del vostro conto corrente online, con tutti i rischi annessi e connessi facilmente immaginabili.

24 novembre 2016 ==> Phishing Poste Italiane

«OGGETTO: <Poste Italiane: Azione imminente>

Ancora una volta siamo in presenza di un tentativo di phishing proveniente da una falsa comunicazione di Poste Italiane in cui il malcapitato ricevente viene invitato a confermare/verificare i suoi dati per poter continuare ad usufruire dei servizi offerti.

In prima battuta notiamo che l'indirizzo email del mittente sembra provenire da un dominio ingannevole, molto simile a quello di Poste Italiane.
Tuttavia il messaggio, conciso ed essenziale, contiene un testo generico. Si rivolge infatti ad un ''Gentile cliente'' non facendo alcun riferimento all'intestatario della carta Poste Italiane oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
Sul fondo della mail, proprio a voler rassicurare l'utente sulla genuinità del messaggio sono stati riportati dei FALSI dati identificativi di Poste Italiane:
_______________________________________________
P.IVA 04107060966 (c) Poste Italiene 2016


Il link riportato in calce

https://securelogin(dot)poste(dot)it...

dirotta su una pagina web che non ha niente a che vedere con il sito ufficiale di Poste Italiane.



Nell'immagine a sinistra notiamo che il form di autenticazione che induce l'utente ad inserire i codici di accesso al suo conto corrente online è molto simile a quello reale. Tuttavia l'indirizzo WEB sulla barra del broswer non è ospitato sul dominio di Poste Italiane.

L'assenza del protocollo HTTPS inoltre dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.




Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

24 novembre ==> Phishing WhatsApp Messenger

«OGGETTO: <Attenzione! Il tuo account è scaduto WhatsApp Messenger>

Questo nuovo tentativo di phishing giunge sottoforma di una falsa email di WhatsApp Messenger.

Come lo scorso 7 novembre anche questa volta il messaggio vuol far credere al malcapitato ricevente che il suo account WhatsApp Messenger è scaduto e che è necessario procedere al suo tempestivo rinnovo per impedire che tutti i media salvati (immagini, video..) vengano persi. Ad un primo impatto visivo il messaggio potrebbe essere forviante. La nostra attenzione infatti ricade sul logo di WhatsApp Messenger, identico a quello autentico, che è stato inserito dai creatori per rendere il messaggio più attendibile. Anche l'indirizzo email del mittente sembrerebbe provenire apparentemente al dominio di WhatsApp Messenger.

Il messaggio tuttavia è molto generico poichè non fa riferimento al numero di telefono associato all'utenza WhatsApp e questo dovrebbe quantomai insospettirci.

Il link riportato in calce

''Rinnova il tuo WhatsApp Messenger''

dirotta su una pagina internet contenente un modulo che induce l'utente ad inserire i dati relativi alla sua carta di credito per procedere al rinnovo/pagamento dell'abbonamento.

Fortunatamente il link riportato nella mail dirotta su una pagina internet che è già stata segnalata come pagina /SITO INGANNEVOLE in quanto il suo dominio non aveva nulla a che fare con WhatsApp Messenger essendo ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

23 novembre 2016 ==> Phishing PostePay

«OGGETTO: <Avviso cliente e-PostePay>

Questo phishing si cela dietro una falsa comunicazione di PostePay.

Il messaggio vuol far credere al malcapitato ricevente che dal 25 novembre non potrà più utilizzare il suo conto PostePay se non avrà attivato il nuovo Sistema di Sicurezza Web PostePay, funzionalità volta a garantire maggiore affidabilità alle operazioni di pagamento online. Per attivare il servizio è necessario accedere alla pagina web allegata e compilare il form di autenticazione. In prima battuta notiamo che l'indirizzo email del mittente sembra provenire da un dominio ingannevole, molto simile a quello di PostePay. Tuttavia il messaggio, conciso ed essenziale, contiene un testo generico. Si rivolge infatti ad un ''Gentile cliente'' non facendo alcun riferimento all'intestatario della carta PostePay oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Lo scopo dell'alert è quello di indurre il ricevente ad aprire la pagina web in allegato e a compilare il FALSO form di autenticazione in locale che lo invita ad inserire i dati relativi alla sua carta PostePay quali nome utente, password, numero di telefono, codice fiscale e soprattutto numero della carta, scadenza e codice CVV2.

La pagina web dove vengono indirizzati i dati del form è la seguente http://www(dot)productweb(dot)org/poste(dot)php e da questa, dopo che i dati sono stati archiviati in un dBase dei cyber-criminali, si viene dirottati sul sito ufficiale di Poste Italiane di modo che il malcapitato utente abbia l'impressione che tutta l'operazione di verifica sia stata eseguita con successo avendo l'impressione di essere rimasto sempre nell'ambito del sito/dominio ufficiale di Poste Italiane.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

22 novembre 2016 ==> Phishing American Express

«OGGETTO: <Secure Your Account>

Il seguente tentativo di phishing si spaccia per finta email da parte di AMERICAN EXPRESS.

Il messaggio invita l'ignaro ricevente ad attivare il servizio di autenticazione American Express SafeKey che dovrebbe fornire un ulteriore grado di protezione contro le frodi informatiche. Per usufruire di questa nuova funzionalità volta ad aumentare la sicurezza del proprio account AMERICAN EXPRESS, è necessario accedere e verificare i propri dati.
Per rassicurare il ricevente sulla genuinità della mail viene segnalato inoltre che tutti i dati  inseriti attraverso il loro sito web sono cifrati, quindi protetti non potendo essere visualizzati/rubati da terzi.

E' chiaro che si tratta di una vera e propria truffa.

I cyber-truffatori ideatori di questo phishing sono stati molto astuti infatti il messaggio è impostato in modo tale da poter sembrare attendibile. L'utilizzo di immagini e loghi riconducibili ad AMERICAN EXPRESS potrebbero infatti trarre in inganno l'ignaro ricevente.
Tuttavia, oltre all'indirizzo email del mittente che non ha nulla a che vedere con AMERICAN EXPRESS notiamo che il testo è generico e non fa alcun riferimento all'intestatario dell'account AMERICAN EXPRESS oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Fortunatamente i vari link riportati nella mail dirottano su una pagina internet che è già stata segnalata come pagina /SITO INGANNEVOLE in quanto il suo dominio non aveva nulla a che fare con AMERICAN EXPRESS essendo ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

16 novembre 2016 ==> Phishing POSTE ITALIANE

«OGGETTO: <Sistema di sicurezza Poste Italiane>

Ancora una volta siamo in presenza di un tentativo di phishing che giunge da una falsa mail di POSTE ITALIANE.

Come in altre occasioni il messaggio vuol far credere al ricevente che, per poter continuare ad usufruire dei servizi del conto corrente online di  POSTE ITALIANE sia necessario aggiornare/verificare i suoi dati anagrafici.

Analizzando la mail notiamo che il messaggio, proveniente da un indirizzo email estraneo al dominio di POSTE ITALIANE , contiene un testo generico. Si rivolge infatti ad un ''Gentile cliente'' non facendo alcun riferimento all'intestatario del conto corrente oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.
I cyber-truffatori hanno avuto tuttavia l'accorgimento di inserire, oltre al logo, anche dei  FALSI dati identificativi di POSTE ITALIANE:

P.IVA 04107060966 - (c) Poste Italiene 2016.



Fortunatamente il link riportato in calce

''https://securelogin(dot)poste(dot)it............''

dirotta su una pagina internet che è già stata segnalata come pagina /SITO INGANNEVOLE in quanto il suo dominio non aveva nulla a che fare con POSTE ITALIANE essendo ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

16 novembre ==> Phishing LOTTOMATICARD

«OGGETTO: < (caratteri alfanumerici) - Procedura (caratteri alfanumerici)>

Questo phishing giunge sotto forma di una falsa comunicazione da parte di LOTTOMATICARD. Il messaggio di alert ha come obiettivo quello di ingannare i titolari di carte prepagate LOTTOMATICARD al fine di acquisire i loro codici di accesso all'Home Banking. L'email contraffatta avverte l'utente che la password della sua LOTTOMATICARD è scaduta e che è necessario reimpostarla prima che la carta venga disattivata. Analizzando il corpo del messaggio, nonostante la presenta del logo verosimile di LOTTOMATICARD che potrebbe forviare l'utente meno attento, si può facilmente notare l'uso scorretto della lingua italiana con la presenza di errori ortografici e grammaticali che dovrebbero essere un chiaro segnale dell'inattendibilità dell'alert.

Inoltre il messaggio, proveniente da un indirizzo email estraneo al dominio di LOTTOMATICARD contiene un testo molto generico. Non vi è infatti alcun riferimento sull'intestatario della carta LOTTOMATICARD, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

L'intento dei cyber-truffatori è quello di indurre l'ignaro destinatario a cliccare sul link

''==>Procedi per cambiare la password ...''

che rimanda ad una pagina che non ha nulla a che vedere con il sito WEB di LOTTOMATICARD.

Dall'immagine sulla sinistra possiamo notare che il link indirizza su un form di autenticazione molto simile a quello di LOTTOMATICARD in cui vengono richiesti dati sensibili quali codice internet, PIN e data di nascita. Tuttavia l'indirizzo URL riportato sulla barra del broswer non è ospitato sul dominio reale di LOTTOMATICARD. Per ingannare ulteriormente il malcapitato destinatario i cyber-criminali hanno avuto l'accorgimento di inserire l'ulteriore link ''Richiedili ora'' che dovrebbe presumibilmente recapitare all'utente i codici internet non ancora ricevuti al titolare dellla LOTTOMATICARD ma che, ovviamente, rimanda ad un'altra pagina malevole.

Lo scopo è sempre quello di persuadere l'utente ad inserire i codici relativi alla sua LOTTOMATICARD che, se introdotti sul form, saranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale.

15 novembre ==> Phishing Intesa San Paolo

«OGGETTO: <Avviso importante>

Il seguente tentativo di phishing si spaccia per finta email da parte del noto gruppo bancario INTESA SAN PAOLO. Dal messaggio leggiamo che ''..la normativa bancaria vigente, in materia di prevenzione dei reati di riciclaggio, richiede l'acquisizione, il mantenimento e l'aggiornamento nel tempo di tutte le informazioni necessarie per assolvere agli obblighi di adeguata verifica della clientela.'' Pertanto il ricevente viene invitato a verificare/aggiornare i suoi dati anagrafici entro 48 ore dalla ricezione della comunicazione, pena la sospensione della sua carta di credito e del suo conto corrente online.

Nonostante i cyber-criminali creatori della truffa abbiano avuto l'accorgimento grafico di inserire il logo di INTESA SAN PAOLO, ad insospettirci dovrebbe essere l'indirizzo email del mittente ''info(at)azeta(dot)sk'', poco attendibile poichè non sembra provenire dal dominio dell'ente bancario.
Inoltre, come per la maggior parte dei phishing, il testo è generico; non contiente infatti alcun riferimento al titolare del conto corrente INTESA SANPAOLO oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Chi dovesse distrattamente cliccare sul link

http://www(dot)intesasanpaolo(dot)com/verifica-dei-dati-necessaria/authenticate(dot)html

dovrebbe accorgersi che l'indirizzo URL che comparirà sulla barra del broswer non ha nulla a che vedere con il sito di INTESA SAN PAOLO.

Nonostante la pagina sia impostata in modo ragionevolmente ingannevole per un utente inesperto, possiamo facilmente notare che il form di autenticazione che invita ad inserire le credenziali del proprio conto corrente online è ospitato su un indirizzo/dominio che non ha nulla a che fare con INTESA SAN PAOLO. Sul fondo della pagina sono stati riportati anche dei dati che sembrerebbero identificare l'ente Intesa Sanpaolo SpA P.Iva 10810700152 che chiaramente sono stati inventati e inseriti appositamente per rassicurare l'utente sulla veridicità del form.

Concludendo, vi invitiamo a prestare la massima attenzione a queste mail che, seppur apparentemente credibili, sono dei tentativi di frode/truffa che cercano di indurvi a rivelare dati personali importanti come, in questo caso, le credenziali del vostro conto corrente online, con tutti i rischi annessi e connessi facilmente immaginabili.

13 novembre ==> Phishing Alibaba

«OGGETTO: <Le Van Luc has sent you an inquiry>

Questo tentativo di phishing giunge da una falsa comunicazione proveniente da Alibaba. Alibaba, il network di siti internet dedicati all'e-commerce che agisce soprattutto in Cina, sembrerebbe informare il destinatario, quale suo fantomatico venditore, che un acquirente (Le Van Luc) ha inviato, per il suo tramite, una richiesta relativa ai costi di spedizione in Germania. Il ricevente viene intimato a rispondere entro 24 ore dalla ricezione della mail poichè, in caso contrario, Alibaba procederà a raccomandare altri fornitori.   Ad un primo impatto visivo il messaggio potrebbe essere forviante. La nostra attenzione infatti ricade sul logo di Alibaba, identico a quello autentico, che è stato inserito dai creatori per rendere il messaggio più attendibile. Anche l'indirizzo email del mittente è ingannevole poichè sembrerebbe provenire apparentemente al dominio di Alibaba.

Lo scopo dei cyber-criminali ideatori della truffa è quello di indurre il destinatario a cliccare su uno dei due link

Reply Now               Manage Your Orders                   

che, ci preme precisarlo, rimandano entrambi ad una pagina che non è riconducibile al sito di Alibaba.

Nell'immagine notiamo che il form di autenticazione che induce l'utente ad inserire i codici di accesso al suo account Alibaba, seppur molto simile a quello reale (vedasi anche il titolo della Tab illusorio), non è ospitato sul dominio autentico di Alibaba. L'indirizzo URL sulla barra di navigazione, composto da una successione di caratteri alfanumerici dovrebbe insospettirci poichè non ha nulla a che vedere con il sito di Alibaba.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

13 novembre ==> Phishing TIM

«OGGETTO: <Bonus : (successione di numeri)>

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte della nota compagnia telefonica TIM. Il messaggio annuncia al destinatario che, se effettua una ricarica telefonica online entro la giornata gli sarà riconosciuto del credito omaggio. Chiaramente si tratta di una truffa volta ad ammaliare l'ignaro destinatario convinto di poter usufruire di una promozione che sembrerebbe accordargli ben 50 Euro di credito omaggio. In poche parole, un vero e proprio specchietto per le allodole.

L'obiettivo dei cyber-criminali ideatori della truffa resta chiaramente quello di rubare i codici della carta di credito del ricevente.

Ad un primo impatto visivo il messaggio potrebbe essere forviante soprattutto per la presenza del logo di TIM che rende il messaggio più credibile. Tuttavia il messaggio giunge da un indirizzo email anomalo, il cui dominio non sembra assolutamente riconducibile a quello di TIM.

L'intento dei cyber-truffatori è quello di indurre l'ignaro destinatario a cliccare sul link ''RICARICA ORA LA TUA SIM'' che rimanda ad una pagina WEB malevole che non ha nulla a che vedere con il sito WEB di TIM. Nonostante la Tab del broswer abbia come titolo ''TIM e Telecom'', il form di autenticazione che induce l'utente ad inserire i codici di accesso al suo conto corrente online, seppur molto simile a quello reale, non è ospitato sul dominio di TIM.

In conclusione vi invitiamo sempre a diffidare da qualunque email che, offrendo ''bonus'' o ''premi'', preveda l'inserimento di dati riservati come i codici della propria carta di credito invitandovi a cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

12 novembre ==> Phishing BancoPosta

«OGGETTO: <Agg mes ID: (successione di numeri)>

Ancora una volta siamo in presenza di un tentativo di phishing proveniente da una falsa comunicazione di BancoPoste in cui il malcapitato ricevente viene invitato a confermare/verificare le informazioni fornite durante la sottoscrizione del suo conto corrente online per poter continuare ad usare i servizi BancoPosta. In prima battuta notiamo subito che l'oggetto del messaggio è anomalo, come anomalo è anche l'indirizzo email del mittente amy(at)roitn(dot)com che non ha alcun legame con il dominio di BancoPoste. Inoltre, come per la maggior parte dei phishing, il testo è generico; non contiente infatti alcun riferimento al titolare del conto BancoPosta oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Sul fondo della mail, proprio a voler rassicurare l'utente sulla genuinità del messaggio è stata riportata la dicitura:
_______________________________________________
Servizio Clienti - BancoPosta S.p.A.
BancoPosta S.p.A. (C) 2016 | P.IVA 043461726

Lo scopo è sempre quello di indurre il destinatario a cliccare sul link CLICCA QUI che, ci preme precisarlo, rimanda ad una pagina che non ha nulla a che vedere con BancoPosta. Nell'immagine notiamo che, nonostante la Tab del broswer abbia come titolo ''BancoPosta'', il form di autenticazione che induce l'utente ad inserire i codici di accesso al suo conto corrente online, seppur molto simile a quello reale, non è ospitato sul dominio di BancoPosta.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

10 novembre ==> Ancora phishing WhatsApp Messenger..

«OGGETTO: <Attenzione! Il tuo account è scaduto WhatsApp Messenger>

Questo tentativo di phishing giunge ancora una volta da una falsa email di WhatsApp Messenger. Come lo scorso 7 Novembre anche questa volta iI messaggio vuol far credere al malcapitato ricevente che il suo account WhatsApp Messenger è scaduto e che è necessario procedere al suo tempestivo rinnovo per impedire che tutti i media salvati (immagini, video..) vengano persi. Ad un primo impatto visivo il messaggio potrebbe essere forviante. La nostra attenzione infatti ricade sul logo di WhatsApp Messenger, identico a quello autentico, che è stato inserito dai creatori per rendere il messaggio più attendibile. Anche l'indirizzo email del mittente sembrerebbe provenire apparentemente al dominio di WhatsApp Messenger.

Il messaggio tuttavia è molto generico poichè non fa riferimento al numero di telefono associato all'utenza WhatsApp e questo dovrebbe quantomai insospettirci.

Il link riportato in calce

''Rinnova il tuo WhatsApp Messenger''

dirotta su una pagina internet contenente un modulo che induce l'utente ad inserire i dati relativi alla sua carta di credito per procedere al rinnovo/pagamento dell'abbonamento.

Come possiamo vedere nell'immagine a sinistra l'indirizzo WEB sulla barra di navigazione non ha nulla a che vedere con il sito di WhatsApp Messenger poichè non è ospitato sul suo dominio. Pertanto tutti i dati eventualmente inseriti verrebbero inviati su un Server remoto e utilizzati dai cyber-criminali per usi di loro maggiore interesse e profitto, facilmente immaginabili.

In conclusione ci preme precisare che il noto servizio di messaggistica istantanea è estraneo all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

07 novembre ==> Continuano i numerosi phishing POSTEPAY..

Come già visto nelle numerose news pubblicate in precedenza, uno dei siti maggiormente presi di mira per i tentativi di phishing è quello di POSTE ITALIANE.

La tecnica più utilizzata è quella di inviare al destinatario email relative alla sua carta POSTEPAY, nella quale lo si invita ad accedere immediatamente al suo account online, per verificare/convalidare i suoi dati. Naturalmente queste email sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Nei primi giorni del mese corrente abbiamo riscontrato un invio massivo di queste email ingannevoli contententi del PHISHING.

Le immagini in calce rappresentano 2 classiche tipologie di email phishing che giungono da FALSE email di POSTE ITALIANE dove, in entrambi i casi, viene segnalato al destinatario che la sua POSTEPAY è stata bloccata per la rilevazione di presunte attività irregolari e che, per sbloccarla, è necessario accendere al conto corrente online attraverso il link fornito.

Immagine 1: esempio di email phishing di POSTE ITALIANE

Immagine 2: esempio di email phishing di POSTE ITALIANE

Cliccando sul link, chiaramente, non si viene dirottati sul sito autentico di POSTE ITALIANE ma su un sito WEB, del tutto simile all'originale, contenente un form di autenticazione che è stato ideato appositamente per ingannare l'utente inducendolo ad inserire i dati relativi alla sua carta POSTEPAY.

Immagine 3: esempio di sito phishing di POSTE ITALIANE

Nell'immagine a sinistra notiamo tuttavia che l'indirizzo WEB sulla barra del broswer non è ospitato sul dominio reale di POSTE ITALIANE. L'assenza del protocollo HTTPS inoltre dovrebbe quantomai insospettirci poichè i dati eventualmente inseriti non sarebbero protetti.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

07 novembre ==> Phishing WhatsApp Messenger

«OGGETTO: <Attenzione! Il tuo account è scaduto WhatsApp Messenger>

Questo nuovo tentativo di phishing giunge sottoforma di una falsa email di WhatsApp Messenger. II messaggio vuol far credere al malcapitato ricevente che il suo account WhatsApp Messenger è scaduto e che è necessario procedere al suo tempestivo rinnovo per impedire che tutti i media salvati (immagini, video..) vengano persi. Ad un primo impatto visivo il messaggio potrebbe essere forviante. La nostra attenzione infatti ricade sul logo di WhatsApp Messenger, identico a quello autentico, che è stato inserito dai creatori per rendere il messaggio più attendibile. Anche l'indirizzo email del mittente sembrerebbe provenire apparentemente al dominio di WhatsApp Messenger.

Il messaggio tuttavia è molto generico poichè non fa riferimento al numero di telefono associato all'utenza WhatsApp e questo dovrebbe quantomai insospettirci.

Il link riportato in calce

''Rinnova il tuo WhatsApp Messenger''

dirotta su una pagina internet contenente un modulo che induce l'utente ad inserire i dati relativi alla sua carta di credito per procedere al rinnovo/pagamento dell'abbonamento.

Come possiamo vedere nell'immagine a sinistra l'indirizzo WEB sulla barra di navigazione non ha nulla a che vedere con il sito di WhatsApp Messenger poichè non è ospitato sul suo dominio. Pertanto tutti i dati eventualmente inseriti verrebbero inviati su un Server remoto e utilizzati dai cyber-criminali per usi di loro maggiore interesse e profitto, facilmente immaginabili.

In conclusione ci preme precisare che il noto servizio di messaggistica istantanea è estraneo all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

04 novembre ==> Ancora Phishing POSTEPAY..

«OGGETTO: <Per motivi di sicurezza abbiamo sospeso il suo conto on line ''email del destinatario''>

Questo phishing si cela dietro una falsa comunicazione di POSTE ITALIANE. Il messaggio vuol far credere al malcapitato ricevente che la sua carta PostePay è stata sospesa e che, per riabilitarla, è necessario verificare/confermare i dati relativi cliccando sul link riportato di seguito e restare in attesa dell'aggiornamento. In prima battuta notiamo che l'indirizzo email del mittente sembra provenire da un dominio ingannevole, molto simile a quello di POSTE ITALIANE. Tuttavia il messaggio, conciso ed essenziale, contiene un testo generico. Si rivolge infatti ad un ''Gentile cliente'' non facendo alcun riferimento all'intestatario della carta POSTEPAY oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo.

Inoltre analizzando il corpo del messaggio notiamo che non è presente alcun dato identificativo che possa ricondurci a POSTE ITALIANE, quali sede legale, partita IVA o eventuali recapiti telefonici.

Il link riportato in calce

https://securelogin(dot)poste(dot)it

dirotta su una pagina web che non ha niente a che vedere con il sito autentico di POSTE ITALIANE.

Nell'immagine a sinistra notiamo che il form di autenticazione che induce l'utente ad inserire i codici di accesso al suo conto corrente online è molto simile a quello reale. Tuttavia l'indirizzo WEB sulla barra del broswer non è ospitato sul dominio di POSTE ITALIANE. L'assenza del protocollo HTTPS inoltre dovrebbe far perdere credibilità alla pagina poichè i dati eventualmente inseriti non sarebbero protetti.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

02 novembre 2016 ==> Phishing POSTEPAY

«OGGETTO: <Comunicazione importante! Carta Postepay bloccata>

Questo tentativo di phishing giunge da una falsa mail di POSTE ITALIANE. Il messaggio vuol far credere al malcapitato ricevente che la sua carta Postepay è stata sospesa, essendo state rilevate transazioni fraudolente e che, per sbloccarla è necessario verificare/confermare i dati relativi cliccando sul link riportato in seguito. Analizzando la mail notiamo che il messaggio, conciso ed essenziale, proviene da un indirizzo email estraneo al dominio di POSTE ITALIANE e che contiene un testo generico. Si rivolge infatti ad un ''Gentile cliente'' non facendo alcun riferimento all'intestatario della carta POSTEPAY oggetto dell'alert, diversamente da quanto avviene nelle comunicazioni ufficiali e autentiche di questo tipo. I cyber-truffatori hanno avuto tuttavia l'accorgimento di inserire in calce alla mail una fantomatica P. IVA di POSTE ITALIANE per rendere l'alert più credibile.

Il link riportato in calce ''https://securelogin(dot)poste(dot)it............'' dirotta su una pagina internet che, prima di essere segnalata come pagina /SITO INGANNEVOLE portava su una pagina il cui dominio non aveva nulla a che fare con POSTE ITALIANE in quanto ospitata su un server remoto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

02 novembre 2016 ==> Phishing DE CECCO

«OGGETTO: <Consegna De Cecco per ''indirizzo email del destinatario'': penne o spaghetti>

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di De Cecco. II messaggio vuol far credere al ricevente che è stato selezionato per provare a vincere una fornitura di pasta De Cecco per un anno, semplicemente partecipando ad un sondaggio online. Chiaramente la nota azienda italiana produttrice di pasta è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente. Ad un primo impatto visivo il messaggio potrebbe essere forviante poichè è impaginato in modo ordinato. Tuttavia analizzando il testo notiamo che non è presente alcun riferimento identificativo che possa ricondurci all'azienda De Cecco, quali sede legale, partita IVA o eventuali recapiti telefonici. Ad insospettirci ulteriormente vi è l'indirizzo email del mittente che non proviene dal dominio reale di De Cecco ma da uno anomalo.

L'ignaro destinatario che, malauguratamente, dovesse premere sul link ''PARTECIPO'' verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di De Cecco.

La tab del broswer con titolo ''Vinci DE CECCO'' inviterà il consumatore, o presunto tale, a rispondere a 3 domande per partecipare al sondaggio, che dovrebbe permettergli di vincere come premio la fornitura di pasta per un anno.

Chi dovesse sottoporsi al sondaggio verrà successivamente rimandato al form di autenticazione riportato nell'immagine in calce che richiederà l'inserimento di dati sensibili. Anche in questa pagina notiamo che l'indirizzo sulla barra di navigazione è anomalo.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
02/10/2016 11:35:15 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2016...
03/09/2016 12:17:53 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2016...
01/08/2016 08:50:27 - Phishing: le frodi maggiormente diffuse nel mese di agosto 2016...
01/07/2016 12:24:06 - Phishing: le frodi maggiormente diffuse nel mese di luglio 2016...
03/06/2016 08:33:29 - Phishing: le frodi maggiormente diffuse nel mese di giugno 2016...
10/05/2016 18:22:09 - Phishing: le frodi maggiormente diffuse nel mese di maggio 2016...
06/05/2016 15:26:16 - Phishing: le frodi maggiormente in circolazione (aprile 2016)...

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza: TG Soft rende disponibile Vir.IT eXplorer Lite liberamente utilizzabile sia in ambito privato che in ambito aziendale; Vir.IT eXplorer Lite è stato specificatamente progettato per essere utilizzato ad integrazione di qualsiasi altro AV o Internet Security già presenti sul computer, senza doverli disinstallare o disabilitarne moduli, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità poichè la sicurezza non è mai abbastanza. Vai alla pagina di download.

C.R.A.M. Centro Ricerche Anti-Malware di TG Soft