INDICE dei PHISHING

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di Aprile 2025:

05/04/2025 => Phishing sondaggio clienti - BOSCH
04/04/2025 => Aruba - Aggiorna pagamento
03/04/2025 => Netflix
03/04/2025 => Aruba - Verifica Password
03/04/2025 => Google
01/04/2025 => Phishing sondaggio clienti

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

• Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

• Prova Vir.IT eXplorer Lite

• Ora disponibile VirIT Mobile Security
  

• Ringraziamenti

• Come inviare e-mail sospette per l'analisi

05 Aprile 2025 ==> Phishing Sondaggio clienti BOSCH  

OGGETTO: <Hai vinto un compressore d\'aria portatile per pneumatici Bosch GRATUITO! !# bZzSUU>

Di seguito analizziamo il seguente tentativo di truffa che si cela dietro ad una falsa comunicazione da parte della BOSCH, la nota azienda automobilistica tedesca.
Il fortunato utente è stato selezionato per prartecipare ad un rapido sondaggio che gli permetterebbe di vincere un "COMPRESSORE DELL'ARIA PNEUMATICA PORTATILE BOSCH "...
Sicuramente per molti utenti inesperti dietro questi phishing si cela un vero e proprio specchietto per le allodole.
Chiaramente BOSCH è estranea all'invio massivo di queste campagne malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
A scanso di equivoci si tratta infatti di tentativI di phishing voltI a carpire i vostri dati personali..
Quindi occhi aperti... per evitare spiacevoli inconvenienti basta un pò di attenzione e colpo d'occhio.

Già in prima battuta notiamo che il messaggi proveniene da indirizzo email che chiaramente non è riconducibile al dominio ufficiale di  BOSCH , nello specifico: <chell03[at]nexusart[dot]it>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci. Se dovessimo tuttavia proseguire e cliccare sul link Clicca qui per iniziare! presente nelle mail ecco cosa accadrebbe:

Veniamo dirottati su una pagina di ''atterraggio'' che, sebbene graficamente ben fatta (con immagini fuorvianti e il logo autentico di BOSCH ) non sembra per nulla attendibile.
Il sondaggio per ottenere il premio è ospitato infatti su un indirizzo/dominio anomalo:

https[:]//[NomeDominioFake*]....

che non ha alcun legame con la BOSCH .
I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che l'offerta scade in giornata. In calce alla videata notiamo che è presente anche un timer countdown che tuttavia, qualora dovesse azzerarsi, come simulato, ripartirebbe da capo subito dopo..cosa alquanto strana.

Cliccando su INIZIA IL SONDAGGIO, si viene rimandati alle schermate successive, dove viene richiesto di rispondere a 8 domande.

Ci siamo: basterà infatti inserire il proprio indirizzo di spedizione e pagare le spese di spedizione e in 5-7 giorni lavorativi il premio verrà consegnato....

Per dare maggior credibilità sono stati riportati altresì numerosi commenti di clienti che sembrerebbero aver già partecipato al sondaggio. Sono tutte testimonianze/feedback rassicuranti sulla consegna effettiva della vincita e sul fatto che non si tratti realmente di una truffa.....
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!

A questo punto, cliccando su Continua si viene rimandati su un'ulteriore pagina per l'inserimento del proprio indirizzo per la spedizione e il pagamento delle spese di spedizione di Euro 2,00. 

La pagina su cui si viene rimandati, per l'inserimento dei propri dati personali, è ospitata su un nuovo indirizzo/dominio anomalo:

https[:]//[NomeDominioFake*][.]com

In conclusione vi invitiamo sempre a diffidare da messggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.

04 Aprile 2025 ==> Phishing Aruba - Aggiorna pagamento

OGGETTO: <Ultimo Avviso per il Rinnovo del Tuo Dominio>

Continuano i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

Il messaggio informa il ricevente che l'ultimo pagamento in riferimento al suo dominio ospitato su Aruba, non è andato a buon fine. Per evitare la sospensione del servizio e continuare a mantenere attivo il dominio con tutti i servizi collegati sembra necessario procedere tempestivamente al pagamento e comunque entro 48 ore, altrimenti l'account e i servizi ad esso collegati potranno essere sospesi.
Invita quindi l'utente ad aggiornare il metodo d i pagamento, attraverso il seguente link:

Aggiorna Metodo di Pagamento

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando il testo del messaggio notiamo fin da subito che l'indirizzo e-mail del mittente <anis[dot]hassar-etu[at]etu[dot]univh2c[dot]ma> non proviene dal dominio ufficiale di Aruba.
Per indurre il malcapitato a procedere tempestivamente al rinnovo della propria casella postale vengono date 48 ore di tempo. Questo ha lo scopo di intimare l'utente, spinto dal timore di ritrovarsi con la sua casella e-mail disattivata, ad agire immediatamente e senza pensarci troppo.  Chi dovesse malauguratamente cliccare sul link Aggiorna Metodo di Pagamento verrà dirottato sulla pagina visualizzata.

Come possiamo notare, innazitutto, la pagina di atterraggio, contrariamente a quanto dovremmo attenderci, non rimanda al form di accesso per effettuare il login all'AREA RISERVATA di Aruba ma ospita un modulo di pagamento online che sembra appoggiarsi al circuito di BancaSella e dove viene richiesto direttamente l'inserimento dei dati della carta di credito per finalizzare il pagamento della modica cifra di Euro 12,99.....
Sebbene la fretta e il timore di ritrovarsi con la casella email sospesa possano spingere l'utente a concludere velocemente l'operazione basta soffermarsi sull'indirizzo url riportato sulla barra del broswer per rendersi conto che il form di pagamento non risiede sul dominio ufficiale di Aruba e nemmeno di BancaSella.
Vi invitiamo pertanto a ricordare che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche banale.
Procedendo all'inserimento dei dati richiesti, nello specifico i dati della carta di credito, questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno a scopi criminali.

03 Aprile 2025 ==> Phishing NETFLIX

«OGGETTO: <Azione Richiesta: Verifica i Dati di Pagamento del Tuo Abbonamento>Analizziamo questo mese il seguente tentativo di phishing che sembra provenire da una falsa comunicazione di NETFLIX, la nota piattaforma di distribuzione streaming di film, serie tv e altri contenuti a pagamento, e che ha l'obiettivo di rubare i dati della carta di credito del malcapitato.

Il messaggio, che sembra provenire da NETFLIX, informa l'utente sull'impossibilità di procedere al rinnovo dell'abbonamento, per problemi con il pagamento dell'abbonamento annuale di € 6,99. Sembra necessario a tal proposito effettuare un aggiornamento dei dati cliccando sul link:

Aggiorna i dati

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non sembra riconducibile al dominio ufficiale di NETFLIX <cin(at)nucl(dot)it>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link Aggiorna i dati verrà dirottato su una pagina WEB anomala, che non ha nulla a che vedere con il sito ufficiale ma che è già stata segnalata come pagina /SITO INGANNEVOLE.... in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali.

03 Aprile 2025 ==> Phishing Aruba - Verifica Password

OGGETTO: <Final Warning-Verifica Password>

Ritroviamo anche questo mese il tentativo di phishing che si spaccia per comunicazioni da parte del brand Aruba.

Il messaggio informa il destinatario che la password associata al suo account scadrà tra 24 ore, il giorno 04/04/2025. Per garantire la continuità dei servizi e per continuare ad utilizzare la stessa password, invita l'utente ad effettuare l'accesso al suo dominio ospitato su Aruba e a confermare la password. Viene riportao il link per procederealla conferma della password:

VERIFICA PASSWORD

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando l'e-mail notiamo sin da subito che il messaggio di alert giunge sembra giungere dall'indirizzo del destinatario stesso e non dal dominio ufficiale di Aruba. E' fondamentale prestare sempre la massima attenzione prima di cliccare su link sospetti.

Chi dovesse malauguratamente cliccare sul link VERIFICA PASSWORD verrà dirottato sulla pagina web visualizzata.

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password da cui potrà poi procedere a confrmare i propri dati di accesso ed evitare così di incorrere nel blocco dei servizi ad esso collegati.

Sebbene il sito possa trarre in inganno in quanto è stato inserito il noto logo di Aruba, notiamo che l'indirizzo url presente sulla barra del broswer è anomalo e non riconducibile al dominio ufficiale:

https[:]//[NomeDominioFake*].com.br...

Procedendo all'inserimento dei dati in siti web contraffatti, infatti, questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per scopi criminali. Vi invitiamo pertanto a ricordare che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione ad ogni dettaglio, anche banale.

03 Aprile 2025 ==> Phishing Google Drive

OGGETTO: <"Hai raggiunto il limite di spazio di archiviazione!">

Analizziamo di seguito il tentativo di phishing che ha l'obiettivo di rubare le credenziali dell'account Google del malcapitato.

Il messaggio informa il destinatario che lo spazio di archiviazione è pieno, quindi le foto e i video non vengono più aggiornati e rischiano di essere eliminati, è disponibile però un'offerta speciali per i clienti, nell'ambito di un programma fedeltà, che darebbe diritto a 50GB di spazio in più solo per alcuni fortunati clienti al costo di 2€ all'anno. Per scoprire se si rientra tra i fortunati clienti basta cliccare sul seguente link:

Ricevi 50 GB

Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che non è chiaramente riconducibile al server di Google <support[at]xht[dot]decormonks[dot]com>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sul link verrà dirottato su una pagina WEB anomala, che dovrebbe simulare la pagina di accesso all'account Google.

In questa pagina all'utente viene notificata la possibilità di rcevere 50 GB in più di psazion di archiviazione a sli 2€ all'anno. Solitamente queste promozioni che richiedono il pagamento di una modica cifra, sono perpetrate con lo scopo di impossessarsi dei dati della carta di credito.

Procedendo dopo aver cliccato sul link, si viene rimandati su un'altra pagina per l'inserimento dei dati della carta di credito, notimao che anche questa pagina è ospitata su un indirizzo/dominio anomalo:

 https[:]//[NomeDominioFake*].com/.....

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.

01-02 Aprile 2025 ==> Phishing sondaggio clienti:  LAVAZZA/TELEPASS

Continuano le campagne di phishing a tema sondaggio clienti che sfruttano il marchio di note aziende, nei due casi di seguito riportati, sono aziende specializzate nella grande distribuzione e nei servizi per la mobilità.

Chiaramente i marchi sfruttati in queste campagne sono estranee all'invio massivo di queste e-mail malevole che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.
Nei due esempi riportati notiamo che le mail provengono chiaramente da indirizzi estranei al dominio ufficiale di LAVAZZA <support[at]gsp[dot]trenbaru[dot]com>,  o di TELEPASS <info[at]pes[dot]sub2earn[dot]in>. Questo è decisamente anomalo e dovrebbe senz'altro insospettirci.

Cliccando sui link presenti nella mail, si viene dirottati su una pagina di ''atterraggio'' che, può sembrare graficamente ingannevole (con immagini fuorvianti e il logo autentico del marchio), ma prestando più attenzione in queste campagne la pagina di atterraggio è sempre ospitata su un indirizzo/dominio anomalo che non sembra per nulla attendibile o riconducibile al marchio sfruttato.

I Cyber-criminali ideatori della truffa, per raggiungere il loro scopo, attraverso vari stratagemmi, come ad esempio riportare le false testimonianze di clienti che hanno vinto il premio in questione, cercano di indurre l'utente a concludere velocemente il sondaggio facendogli credere che vi sono solo pochi fortunati e che l'offerta scade in giornata.
Di certo se così tanti utenti sono stati fortunati perchè non tentare la fortuna?!

Al termine del sondaggio si viene solitamente reindirizzati su una pagina per l'inserimento dell’indirizzo di spedizione e il contestuale pagamento delle spese di spedizione.

In conclusione vi invitiamo sempre a diffidare da messaggi pubblicitari/promozionali che milantano di "regalare" oggetti di valore, evitando di cliccare su link sospetti, i cui collegamenti potrebbero condurre ad un sito contraffatto, mettendo i vostri dati più preziosi nelle mani di cyber-truffatori per usi di loro maggiore interesse e profitto.