Phishing

Il CERT-AGID ha individuato una campagna di phishing che sfrutta DocuSign, nota piattaforma largamente utilizzata per la firma elettronica e la gestione dei documenti digitali. In questa ondata di attacchi, i malintenzionati inviano email contraffatte contenenti allegati HTML appositamente progettati per rubare le credenziali degli utenti, consentendo agli aggressori di accedere ai loro account e alle informazioni sensibili.

Come avviene l’attacco

L’attacco comincia con un’email apparentemente autentica che invita gli utenti ad aprire un allegato HTML. Una volta aperto, si viene indirizzati a una pagina web contenente un modulo di login che imita fedelmente l’interfaccia di quello di DocuSign. L’obiettivo, come dedotto dal codice JavaScript incluso nel file HTML, è quello di inviare le credenziali della vittima a un bot Telegram gestito dai cybercriminali.

Perché DocuSign è un obiettivo interessante per i criminali informatici?

DocuSign è utilizzato da professionisti e aziende per firmare digitalmente contratti e documenti riservati. Con l’accesso a un account DocuSign, i criminali possono ottenere documenti riservati, contratti e informazioni personali per commettere frodi o creare contratti falsi. Inoltre, le credenziali trafugate possono essere vendute nel dark web, aumentando le possibilità di ulteriori abusi da parte di altri malintenzionati, aumentando ulteriormente il rischio per le vittime.

Il CERT-AGID ha prontamente emesso l’avviso pubblico e comunicato, attraverso il Flusso IoC, l’unico indicatore utile: l’URL del bot Telegram utilizzato per la trasmissione delle credenziali. Tuttavia, gli hash del file HTML variano di volta in volta, poiché i truffatori personalizzano ogni file con l’indirizzo email del destinatario, rendendo più difficile il rilevamento automatico.

Per proteggersi da minacce come questa, il CERT-AGID raccomanda di rimanere vigili e informati sulle minacce di phishing per tutelare i propri dati, prestare attenzione a comunicazioni sospette e adottare semplici precauzioni che possono fare la differenza nella salvaguardia delle informazioni personali e professionali.

https://cert-agid.gov.it/news/false-notifica-docusign-credenziali-trasmesse-a-bot-telegram/

L'articolo Phishing: falsa notifica DocuSign ruba credenziali proviene da Rivista Cybersecurity Trends.

Il CSIRT Italia ha rilevato un riacutizzarsi di una campagna di phishing a tema Hype, già trattata nel bollettino AL02/240925/CSIRT-ITA. Questo attacco informatico viene perpetrato tramite SMS, con l’obiettivo di sottrarre le credenziali d’accesso ai servizi bancari delle vittime.

L’SMS, che sembra provenire da una numerazione legittima, invita l’utente a cliccare su un link per verificare la propria identità sul portale del’’istituto finanziario al fine di evitare il blocco del conto bancario.

Se la vittima clicca sul link, dopo un breve “splash screen” che simula l’app mobile ufficiale, viene presentato un form di login falso per raccogliere le credenziali bancarie. Proseguendo con l’inserimento dei dati, l’utente riceve un messaggio di errore che afferma che il login non è andato a buon fine, con la rassicurazione di essere ricontattato da un operatore per risolvere il problema. Questo passaggio è spesso utilizzato per raccogliere ulteriori informazioni necessarie all’accesso sul sito dell’istituto di credito.

Per proteggersi da questi attacchi, il CSIRT Italia consiglia alle organizzazioni e agli utenti di adottare le seguenti misure:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Inoltre, si consiglia di implementare gli Indicatori di Compromissione (IoC) sui propri sistemi di sicurezza per monitorare eventuali attività malevole.

Per maggiori dettagli, è possibile consultare il bollettino completo sul sito ufficiale del CSIRT Italia.

https://www.csirt.gov.it/contenuti/smishing-nuova-campagna-a-tema-hype-al01-241115-csirt-ita

L'articolo CSIRT Italia avvisa: smishing a tema Hype proviene da Rivista Cybersecurity Trends.

Il Threat Intelligence Team di D3Lab ha individuato una nuova campagna di phishing ai danni di Trenitalia, veicolata attraverso un’email fraudolenta che simula un avviso relativo a un pagamento non andato a buon fine per un presunto viaggio effettuato dalla vittima.

Il contenuto dell’email:

“Gentile Cliente,Il pagamento dell’ultimo viaggio di 19,99€ non è andato a buon fine e non abbiamo potuto addebitare la tua carta a causa di fondi insufficienti. Ti preghiamo di completare il pagamento adesso per evitare ritardi nella prenotazione del tuo prossimo viaggio e possibili pagamenti tardivi delle tariffe. Tieni presente che se il pagamento non viene ricevuto, ciò potrebbe portare all’emissione di un ordine di responsabilità nei tuoi confronti e verranno sostenuti ulteriori costi. Grazie per la tempestiva attenzione. Trenitalia”.

Cliccando sul link presente nell’email, gli utenti vengono indirizzati a una pagina clone creata per simulare il portale ufficiale di Trenitalia per il pagamento delle sanzioni, con l’obiettivo di indurle a effettuare il pagamento della multa. Attraverso questa tecnica, i cybercriminali mirano ad appropriarsi dei dati sensibili delle vittime.

Il Clone, infatti, richiede l’inserimento di nome e cognome, dati della carta di credito (numero, scadenza e cvv), indirizzo email e codice OTP di conferma.

D3Lab invita tutti gli utenti a prestare la massima attenzione. È fondamentale non cliccare su link sospetti ricevuti via SMS o e-mail e non divulgare mai le proprie informazioni sensibili (come username, password, indirizzo e-mail, telefono, etc.).

Gli Indicatori di Compromissione (IoC) relativi alla campagna sono stati resi disponibili da D3Lab sul loro sito ufficiale.

https://www.d3lab.net/nuova-campagna-di-phishing-ai-danni-di-trenitalia/

L'articolo Phishing ai danni di Trenitalia proviene da Rivista Cybersecurity Trends.

È stata individuata una campagna di phishing che utilizza in modo fraudolento il nome e il logo dell’Arma dei Carabinieri. Le e-mail incriminate, con mittente “carabinieri.assistenzaservizio@gmail.com”, sono scritte in italiano e mirano a trarre in inganno gli utenti con un contenuto ingannevole che simula una comunicazione ufficiale.

Nel corpo del messaggio, si fa riferimento a presunti procedimenti penali a carico del destinatario e si invita a consultare con urgenza un documento allegato. Questo documento, presenta i loghi dell’Arma dei Carabinieri e del Ministero della Difesa, nonché una falsa firma dell’ex Comandante dell’Arma. Nel documento si fornisce all’utente la comunicazione di un presunto “procedimento legale” a suo carico relativo a contenuti pedopornografici, e si invita a rispondere con urgenza per evitare conseguenze legali dovute a un mancato riscontro. L’obiettivo è quello di sottrarre dati sensibili alla vittima.

Per proteggersi da attacchi di questo tipo, il CSIRT Italia consiglia agli utenti e alle organizzazioni di verificare scrupolosamente le e-mail ricevute e adottare le seguenti misure preventive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese;
• evitare di fornire i propri dati sensibili a soggetti di dubbia affidabilità;
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e al CSIRT Italia.

Infine, il CSIRT Italia raccomanda di valutare la verifica e l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC), forniti in allegato alla seguente comunicazione ufficiale.

https://www.csirt.gov.it/contenuti/campagna-malevola-a-tema-arma-dei-carabinieri-al02-241203-csirt-ita

L'articolo Phishing: campagna malevola a tema Arma dei Carabinieri proviene da Rivista Cybersecurity Trends.

Il team anti-frode di D3Lab ha individuato una nuova campagna di phishing che prende di mira ho. Mobile, il marchio commerciale di Vodafone Enabler Italia S.r.l., società di Vodafone Italia SpA.

Il phishing si basa su una pagina fraudolenta ospitata sul dominio ho-mobile[.]cfd, creato appositamente per confondere gli utenti riprendendo il nome del sito ufficiale di ho. Mobile. L’obiettivo principale è sottrarre i dati delle carte di credito delle vittime da utilizzare per usi illeciti.

Il dominio malevolo risulta essere stato registrato a fine novembre tramite il provider statunitense Spaceship.com. Da notare che l’estensione di dominio “CFD”, pur essendo nata per il settore della moda, è stata sfruttata in questo caso per fini criminali.

D3Lab raccomanda agli utenti la massima attenzione e ricorda che la presenza del protocollo HTTPS non garantisce automaticamente la sicurezza o l’affidabilità di un sito web.

https://www.d3lab.net/campagna-di-phishing-ai-danni-di-ho-mobile/

L'articolo Campagna di phishing contro ho. Mobile proviene da Rivista Cybersecurity Trends.

Il team anti-frode di D3Lab ha individuato la prima campagna di phishing che prende di mira gli utenti di Multicard ENI, un servizio dedicato alle aziende per la gestione delle spese delle flotte aziendali.

Il sito fraudolento, ancora attivo e ospitato tramite l’infrastruttura di Cloudflare, è visibile esclusivamente da dispositivi mobili. Utilizza il dominio ingannevole mymulticard-enilive[.]com, progettato per confondere gli utenti richiamando il dominio ufficiale del servizio ENI, enilive[.]it.

Secondo le analisi, il sistema dei truffatori verifica la validità delle credenziali inserite nel form della prima pagina. Solo se i dati inseriti dalla vittima risultano validi, l’utente viene indirizzato alle pagine successive, anch’esse fraudolente.

La diffusione di questa truffa avviene tramite e-mail in italiano, apparentemente legittime, inviate sfruttando tecniche di spoofing e originate da un indirizzo IP italiano.

Gli esperti raccomandano di prestare la massima attenzione.

https://www.d3lab.net/campagna-di-phihsing-ai-danni-degli-utenti-multicard-eni/

L'articolo Campagna di phishing contro gli utenti Multicard ENI proviene da Rivista Cybersecurity Trends.

È in corso una campagna di phishing mirata a sottrarre informazioni personali, inclusi gli estremi delle carte di credito, sfruttando il tema del servizio iCloud di Apple.

La truffa, segnalata dal CSIRT Italia, viene diffusa tramite e-mail che promette un presunto premio: la possibilità di ottenere gratuitamente spazio di archiviazione aggiuntivo su iCloud. Tuttavia, cliccando sul link presente nella comunicazione, le vittime vengono indirizzate verso un portale fraudolento dove si offre una promozione di 50 GB di spazio aggiuntivo a soli 2€ l’anno, in contrasto con quanto dichiarato nel corpo del testo dell’e-mail.

Se l’utente clicca sul link “Ricevi 50 GB”, gli vengono richiesti dati sensibili, come informazioni personali ed estremi della carta di credito. Inoltre, qualora inseriti i dati richiesti, una pagina di caricamento simula un tentativo di pagamento non andato a buon fine, visualizzando un messaggio con possibili cause che hanno portato all’errore della transazione. In questa pagina risulta anche una chat di supporto automatizzata gestita tramite bot che invita le vittime a fornire ulteriori dati, suggerendo l’uso di altre carte e reindirizzando a portali di pagamento alternativi, anch’essi fraudolenti.

Per difendersi da questa campagna di phishing, il CSIRT Italia raccomanda agli utenti e alle organizzazioni di verificare scrupolosamente le e-mail ricevute e attivare le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali.

Infine, è consigliato implementare gli Indicatori di Compromissione (IoC) sui propri apparati di sicurezza forniti in allegato nel seguente avviso ufficiale.

https://www.acn.gov.it/portale/en/w/phishing-campagna-a-tema-icloud-

L'articolo Campagna di phishing a tema “iCloud” proviene da Rivista Cybersecurity Trends.

La Polizia Postale segnala una nuova campagna di phishing, basata su false e-mail promozionali che sfruttano il marchio di aziende specializzate in bricolage e edilizia.

Questi messaggi ingannevoli propongono all’utente un premio speciale al completamento di un sondaggio. Per rendere il tutto più credibile, vengono incluse false testimonianze di presunti clienti che avrebbero vinto il premio offerto.

Una volta completato il sondaggio, l’utente viene reindirizzato a una pagina che richiede l’inserimento dell’indirizzo di spedizione e il pagamento di una somma per le spese. Così facendo, i cyber criminali riescono a ottenere i dati bancari delle vittime, utilizzandoli successivamente per scopi fraudolenti.

I consigli della Polizia Postale

• Diffidate di messaggi che propongono premi in cambio di un pagamento esiguo.
• Verificate sempre la veridicità delle campagne promozionali attraverso i canali ufficiali delle aziende.
• Controllate online se altre persone hanno già segnalato l’offerta come truffa.

Per ulteriori informazioni o per segnalazioni, visita il sito ufficiale della Polizia Postale: www.commissariatodips.it

https://www.commissariatodips.it/notizie/articolo/attenzione-alle-false-campagne-promozionali/index.html

L'articolo Polizia Postale: Attenzione false campagne promozionali proviene da Rivista Cybersecurity Trends.

È in corso una campagna di phishing che utilizza in modo fraudolento il logo e il nome del Ministero della Salute per truffare gli utenti, sottraendo loro dati personali e finanziari. A segnalarlo è il CERT-AGID, che ha evidenziato come i cybercriminali stiano inviando email fraudolente, apparentemente legittime, progettate per sembrare legittime, al fine di ingannare le vittime.

Le email invitano gli utenti a cliccare su un link che li conduce a una pagina web fraudolenta, dove viene richiesto di inserire dati personali per ricevere un presunto rimborso di €265,67 da parte del Servizio Sanitario Nazionale.

Dati personali sottratti

Le informazioni richieste comprendono nome, cognome, residenza, numero di telefono e dettagli della carta di credito. Una volta compilato i campi, la vittima viene indirizzate su una seconda pagina dove viene richiesto di inserire nuovamente i dati della carta di credito. Questa tattica è stata studiata dai cybercriminali per evitare da un lato errori di battitura, e dall’altro per ottenere eventualmente l’inserimento dei dati di una seconda carta.

Azioni intraprese e aggiornamenti

Il dominio utilizzato per la truffa è stato registrato di recente sulla piattaforma Namecheap. Il CERT-AGID ha attivato tutte le misure necessarie per contrastare la campagna, tra cui diffondendo gli IoC relativi, contattando il servizio di “abuse” di Namecheap e informando il Ministero della Salute.

In data 20 gennaio 2025, è stata rilevata un’ulteriore campagna che sfrutta le stesse modalità. I nuovi Indicatori di Compromissione sono stati immediatamente diramati, e il file di download disponibile per le organizzazioni accreditate è stato aggiornato.

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sulla piattaforma ufficiale dell’ente, verificando attentamente l’indirizzo URL che compare nel browser e assicurandosi che presenti il dominio ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni ritenute dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it.

https://cert-agid.gov.it/news/false-comunicazioni-del-ministero-della-salute-sfruttate-per-phishing-finanziario/

L'articolo Phishing finanziario in corso: false email del Ministero della Salute proviene da Rivista Cybersecurity Trends.

La Polizia Postale segnala una campagna di phishing in corso mirata agli utenti di Telegram. Si invitano tutti a prestare massima attenzione ai messaggi ricevuti, anche se inviati da contatti memorizzati in rubrica, che invitano a cliccare su link per visualizzare contenuti e che rimandano a una pagina clone della piattaforma Telegram, dove viene richiesto l’inserimento del numero di telefono e di altri dati personali.

Inserire i dati richiesti su queste pagine e completare la procedura consente ai cybercriminali di appropriarsi dell’account Telegram, che viene poi utilizzato per inviare ulteriori messaggi truffa della stessa tipologia a tutti i contatti in rubrica.

La Polizia Postale raccomanda di attivare l’autenticazione a due fattori per una maggiore protezione dell’account e di controllare le sessioni attive su altri dispositivi tramite l’apposita funzione dell’applicazione, rimuovendo quelle non riconosciute.

Per ulteriori informazioni e segnalazioni, rivolgersi alla Polizia Postale attraverso il sito ufficiale www.commissariatodips.it

https://www.commissariatodips.it/notizie/articolo/attenzione-nuova-campagna-di-phishing-rivolta-agli-utenti-telegram/index.html

L'articolo Polizia Postale: attenzione, phishing contro utenti Telegram proviene da Rivista Cybersecurity Trends.