Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di agosto 2017. Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

INDICE dei PHISHING 25/08/2017 => AMAZON 21/08/2017 => Ryanair 21/08/2017 => TIM 17/08/2017 => ING DIRECT 02/08/2017 => PayPal Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi... Ringraziamenti Come inviare e-mail sospette per l'analisi

 

25 agosto 2017 ==> Phishing AMAZON

«OGGETTO: < sollecito buono Amazon per te>


Il seguente tentativo di phishing giunge da una falsa comunicazione da parte di AMAZON.

II messaggio sollecita il ricevente ad usufruire dell'opportunità di vincere un buono AMAZON del valore di 1000€. Per partecipare all'estrazione è neccessario convalidare i propri dati cliccando sul link Clicca qui.
Chiaramente la nota azienda di commercio AMAZON  è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che non è presente alcun riferimento identificativo che possa ricondurci all'azienda AMAZON, quali sede legale, partita IVA o eventuali recapiti telefonici. Il messaggio oltretutto non è firmato.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente postmaster(at)itong(dot)monlean(dot)com che non proviene dal dominio reale di AMAZON ma da uno anomalo.

L'ignaro destinatario che, malauguratamente, dovesse premere sul link

''>> Clicca qui''

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di AMAZON.

La tab del broswer che si apre inviterà l'utente a rispondere ad un sondaggio che dovrebbe permettergli di vincere come premio un buono AMAZON dal valore di 1000€. Viene fornito un tempo massimo per rispondere e successivamente si viene dirottati su un FORM di autenticazione per confermare i propri dati.

Al termine del sondaggio comparirà la videata riportata nell'immagine qui sotto che, dopo aver inserito l'indirizzo email e cliccato su ''Partecipazione gratuita al 100% '' dirotterà su un'altra pagina malevole. Dobbiamo riconoscere che l'interfaccia della pagina è ingannevole poichè graficamente ricercata.

Per rendere il tutto più credibile in calce alla pagina i cyber-criminali ideatori della truffa hanno avuto l'accortezza di inserire una FALSA Informativa sulla Privacy , il Regolamento e pure dei contatti....un phishing realizzato a regola d'arte insomma!
Un osservatore attento potrà però notare che la pagina web è sempre ospitata in un indirizzo anomalo.
L'ignaro utente, dopo aver digitato il proprio indirizzo email e aver cliccato su ''Partecipazione gratuita al 100%'' verrà rimandato ad un FORM di autenticazione che richiederà l'inserimento di dati sensibili.

Dall'immagine qui di fianco possiamo notare che, anche la pagina del FORM di autenticazione continua a presentare lo stesso indirizzo url, quantomai singolare www[.]pertesolo[.]com.... Questo non ha infatti alcun legame con AMAZON non essendo ospitato nel suo dominio.

In conclusione vi invitiamo sempre a diffidare da qualunque email che richieda l'inserimento di dati riservati, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contaffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

21 agosto 2017 ==> Phishing Ryanair

«OGGETTO: <Il tuo volo Ryanair. Completa il tuo check adesso. >

Questo nuovo tentativo di phishing proviene da una falsa comunicazione da parte di Ryanair.

II messaggio vuol far credere al ricevente che è stato selezionato per partecipare all'estrazione di un buono voucher Ryanair del valore di 1000 €. Per provare a vincere è neccessario cliccare su uno dei link riportati nel messaggio.
Chiaramente la nota compagnia aerea Ryanair è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe ideate da cyber-criminali il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Ad un primo impatto visivo il messaggio potrebbe essere ingannevole poichè è impaginato in modo ordinato e contiene delle immagine fuorvianti.
Tuttavia analizzando il testo notiamo che non è presente alcun riferimento identificativo che possa ricondurci all'azienda Ryanair, quali sede legale, partita IVA o eventuali recapiti telefonici.
Ad insospettirci ulteriormente vi è l'indirizzo email del mittente che non proviene dal dominio reale di Ryanair ma da uno anomalo.

L'ignaro destinatario che, malauguratamente, dovesse premere sui link

Un buono Raynair da 1000€ CONTINUA

Per favore conferma questi dati entro il 31 Agosto Clicca qui

verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito di Ryanair.

La tab del broswer con titolo ''1000€ RYANAIR' inviterà il destinatario a rispondere a 3 domande per partecipare al sondaggio, che dovrebbe permettergli di vincere come premio 1000€ di voucher Ryanair.

Al termine del sondaggio comparirà la videata riportata nell'immagine qui sotto che, dopo aver inserito l'indirizzo email dirotterà su un'altra pagina malevole.

Dobbiamo riconoscere che l'interfaccia della pagina è ingannevole poichè graficamente ricercata. Oltretutto in calce alla pagina i cyber-criminali ideatori della truffa hanno avuto l'accortezza di inserire una FALSA Informativa sulla Privacy , il Regolamento e pure dei contatti....un phishing realizzatoa regola d'arte insomma!
Un osservatore attento potrà però notare che la pagina web è sempre ospitata in un indirizzo anomalo.
L'ignaro utente, dopo aver digitato il proprio indirizzo email e aver cliccato su ''Partecipazione gratuita al 100%'' verrà rimandato ad un FORM di autenticazione che richiederà l'inserimento di dati sensibili.

Dall'immagine qui di fianco possiamo notare che, anche la pagina del FORM di autenticazione continua a presentare lo stesso indirizzo url, quantomai singolare www(dot)pertesolo(dot)com.... Questo non ha infatti alcun legame con Ryanaair non essendo ospitato nel suo dominio.

21 agosto 2017 ==> Phishing TIM

«OGGETTO: <TIM: rimborso riferimento A8005W>

A colpo d'occhio notiamo subito che i cyber-criminali ideatori della truffa hanno avuto l'accorgimento grafico di inserire nel corpo del messaggio il noto logo di TIM, questo chiaramente per rendere l'alert più credibile. Tuttavia la richiesta della mail è poco chiara e inprecisa; questo dovrebbe quanto mai insospettirci.
Il testo inoltre è estremamente generico e non contiene riferimenti del cliente a cui è intestata la fattura TIM oggetto dell'alert, diversamente da quanto avviene nella maggior parte delle comunicazioni ufficiali e autentiche di questo tipo.

17 agosto 2017 ==> Phishing ING DIRECT

«OGGETTO: < ''successioni di caratteri alfanumerici'' - Richiesta di Assistenza>

Questo tentativo di phishing giunge da una falsa mail di ING DIRECT.

Il messaggio di alert avvisa il malcapitato ricevente che si sono verificati dei problemi relativamente al suo conto corrente e che, per garantirne la corretta protezione è necessario cliccare sul link ''Procedura di attivazione''e seguirne le istruzioni.

In prima battuta la mail potrebbe sembrare attendibile poichè graficamente è impostata in modo ordinato e ragionevole. I cyber-truffatori hanno avuto l'accortezza di inserire in capo alla mail il logo di ING DIRECT e ulteriormente anche dei FALSI dati identificativi, in particolar modo quella che dovrebbe essere la p. IVA del noto ente bancario, il tutto per rendere l'alert più credibile.

Osservando scrupolosamente lil messaggio tuttavia è possibile notare che l'indirizzo email del mittente è anomalo e che il testo, contenente alcuni errori sintattici e grammaticali, è indirizzato ad un generico ''Gentile Cliente'', non riportando nome e cognome del titolare del conto corrente oggetto dell'alert.

Cliccando sul link ''Procedura di attivazione'' si verrà indirizzati su una pagina web ''anomala'' che non ha nulla a che vedere con il sito web reale di ING DIRECT... Come mostrato nell'immagine qui di fianco bisogna tuttavia riconoscere che il form di autenticazione che simula quello di ING DIRECT, graficamente, è ragionevolmente credibile.

Tutto questo per concludere che i dati eventualmente inseriti nel form fasullo non verranno trasmessi ai server di ING DIRECT ma ad un server remoto gestito da cyber-truffatori che se ne appropieranno con tutti i rischi annessi e connessi facilmente immaginabili.

2 agosto 2017 ==> Phishing PayPal

«OGGETTO: <Abbiamo notato attività insolite sulla carta di credito collegata al tuo conto PayPal.>

Questo primo tentativo di phishing del mese di Aogosto si spaccia per una falsa mail di PayPal.

Come evidenziato nell'immagine qui a fianco il form di autenticazione simula quello originale. Tuttavia il form di autenticazione è stato creato su un file Internet temporaneo, creati ad hoc per rubare dati sensisbili del malcapitato.

Tutto questo per concludere che è sempre bene diffidare da qualunque email che richieda l'inserimento di dati riservati evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto difficilmente distinguibile dall'originale, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

Vi invitiamo a NON farvi ingannare da queste tipologie di e-mail che, anche se utilizzano tecniche di approccio già viste e non particolarmente sofisticate, se vi è una recrudescenza, con ragionevole probabilità, più di qualche malcapitato viene ingannato.
 
Vi invitiamo a consultare, per maggiori approfondimenti, le seguenti informativa sulle tecniche di Phishing:
06/07/2017 15:02:36 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di luglio 2017...
06/06/2017 15:07:05 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di giugno 2017...
03/05/2017 17:47:35 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di maggio 2017...
06/04/2017 11:10:07 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di aprile 2017...
01/03/2017 06:52:30 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di marzo 2017...
06/02/2017 19:14:12 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di febbraio 2017...
02/01/2017 19:21:43 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di gennaio 2017...
01/12/2016 14:36:20 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di dicembre 2016...
02/11/2016 19:42:09 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di novembre 2016...
02/10/2016 11:35:15 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di ottobre 2016...
03/09/2016 12:17:53 - Phishing: i tentativi di furto delle credenziali maggiormente diffuse nel mese di settembre 2016...
01/08/2016 08:50:27 - Phishing: le frodi maggiormente diffuse nel mese di agosto 2016...

Segnaliamo che tutti i virus/malware realmente circolanti vengono identificati e, in moltissimi casi, anche rimossi da Vir.IT eXplorer Lite -FREE Edition- grazie ai suoi due grandi punti di forza: TG Soft rende disponibile Vir.IT eXplorer Lite liberamente utilizzabile sia in ambito privato che in ambito aziendale; Vir.IT eXplorer Lite è stato specificatamente progettato per essere utilizzato ad integrazione di qualsiasi altro AV o Internet Security già presenti sul computer, senza doverli disinstallare o disabilitarne moduli, permettendo quindi quel controllo incrociato che oggigiorno non è più un vezzo, ma una necessità poichè la sicurezza non è mai abbastanza. Vai alla pagina di download.

Ringraziamenti

Il Centro Ricerche Anti-Malware di TG Soft ringrazia tutti i gli utenti, i clienti, i tecnici dei rivenditori e tutte le persone che hanno trasmesso/segnalato al nostro Centro Ricerche materiale riconnducibili ad attività di Phishing che ci hanno permesso di rendere il più completa possibile questa informativa.

Particolari ringraziamenti al Sig. Marco Mira per la fattiva collaborazione che ha voluto accordarci con l'invio di materiale per l'analisi.

Come inviare e-mail sospette per l'analisi come possibili phishing ma anche virus/malware o Crypto-Malware

L'invio di materiali da analizzare al Centro Ricerche Anti-Malware di TG Soft per l'analisi che è sempre e comunque gratuito può avvenire in tutta sicurezza in due modalità:

1. qualsiasi e-mail che sia da considerarsi sospetta può essere inviata direttamente dalla posta elettronica del ricevente scegliento come modalità di invio "INOLTRA come ALLEGATO" e inserendo nell'oggetto "Possibile Phishing da verificare" piuttosto che "Possibile Malware da verificare" alla mail lite@virit.com
2. salvare come file esterno al programma di posta elettronica utilizzato la mail da inviare al C.R.A.M. di TG Soft per l'analisi . Il file che ne risulterà dovrà essere inviato facendone l'Upload dalla pagina di INVIO File Sospetti (http://www.tgsoft.it/italy/file_sospetti.asp). Naturalmente per avere un feed-back rispetto al responso dell'analisi dei file infetti inviati sarà necessario indicare un indirizzo e-mail e sarà gradita una breve descrizione del motivo dell'invio del file (ad esempio: possiible/probabile phishing; possibile/probabile malware o altro).

Tutto questo per aiutare ad aiutarvi cercando di evitare che possiate incappare in furti di credenziali, virus/malware o ancor peggio Ransomware / Crypto-Malware di nuova generazione.
 

C.R.A.M. Centro Ricerche Anti-Malware di TG Soft