Phishing

Il team anti-frode di D3Lab ha individuato la prima campagna di phishing che prende di mira gli utenti di Multicard ENI, un servizio dedicato alle aziende per la gestione delle spese delle flotte aziendali.

Il sito fraudolento, ancora attivo e ospitato tramite l’infrastruttura di Cloudflare, è visibile esclusivamente da dispositivi mobili. Utilizza il dominio ingannevole mymulticard-enilive[.]com, progettato per confondere gli utenti richiamando il dominio ufficiale del servizio ENI, enilive[.]it.

Secondo le analisi, il sistema dei truffatori verifica la validità delle credenziali inserite nel form della prima pagina. Solo se i dati inseriti dalla vittima risultano validi, l’utente viene indirizzato alle pagine successive, anch’esse fraudolente.

La diffusione di questa truffa avviene tramite e-mail in italiano, apparentemente legittime, inviate sfruttando tecniche di spoofing e originate da un indirizzo IP italiano.

Gli esperti raccomandano di prestare la massima attenzione.

https://www.d3lab.net/campagna-di-phihsing-ai-danni-degli-utenti-multicard-eni/

L'articolo Campagna di phishing contro gli utenti Multicard ENI proviene da Rivista Cybersecurity Trends.

È in corso una campagna di phishing mirata a sottrarre informazioni personali, inclusi gli estremi delle carte di credito, sfruttando il tema del servizio iCloud di Apple.

La truffa, segnalata dal CSIRT Italia, viene diffusa tramite e-mail che promette un presunto premio: la possibilità di ottenere gratuitamente spazio di archiviazione aggiuntivo su iCloud. Tuttavia, cliccando sul link presente nella comunicazione, le vittime vengono indirizzate verso un portale fraudolento dove si offre una promozione di 50 GB di spazio aggiuntivo a soli 2€ l’anno, in contrasto con quanto dichiarato nel corpo del testo dell’e-mail.

Se l’utente clicca sul link “Ricevi 50 GB”, gli vengono richiesti dati sensibili, come informazioni personali ed estremi della carta di credito. Inoltre, qualora inseriti i dati richiesti, una pagina di caricamento simula un tentativo di pagamento non andato a buon fine, visualizzando un messaggio con possibili cause che hanno portato all’errore della transazione. In questa pagina risulta anche una chat di supporto automatizzata gestita tramite bot che invita le vittime a fornire ulteriori dati, suggerendo l’uso di altre carte e reindirizzando a portali di pagamento alternativi, anch’essi fraudolenti.

Per difendersi da questa campagna di phishing, il CSIRT Italia raccomanda agli utenti e alle organizzazioni di verificare scrupolosamente le e-mail ricevute e attivare le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali.

Infine, è consigliato implementare gli Indicatori di Compromissione (IoC) sui propri apparati di sicurezza forniti in allegato nel seguente avviso ufficiale.

https://www.acn.gov.it/portale/en/w/phishing-campagna-a-tema-icloud-

L'articolo Campagna di phishing a tema “iCloud” proviene da Rivista Cybersecurity Trends.

La Polizia Postale segnala una nuova campagna di phishing, basata su false e-mail promozionali che sfruttano il marchio di aziende specializzate in bricolage e edilizia.

Questi messaggi ingannevoli propongono all’utente un premio speciale al completamento di un sondaggio. Per rendere il tutto più credibile, vengono incluse false testimonianze di presunti clienti che avrebbero vinto il premio offerto.

Una volta completato il sondaggio, l’utente viene reindirizzato a una pagina che richiede l’inserimento dell’indirizzo di spedizione e il pagamento di una somma per le spese. Così facendo, i cyber criminali riescono a ottenere i dati bancari delle vittime, utilizzandoli successivamente per scopi fraudolenti.

I consigli della Polizia Postale

• Diffidate di messaggi che propongono premi in cambio di un pagamento esiguo.
• Verificate sempre la veridicità delle campagne promozionali attraverso i canali ufficiali delle aziende.
• Controllate online se altre persone hanno già segnalato l’offerta come truffa.

Per ulteriori informazioni o per segnalazioni, visita il sito ufficiale della Polizia Postale: www.commissariatodips.it

https://www.commissariatodips.it/notizie/articolo/attenzione-alle-false-campagne-promozionali/index.html

L'articolo Polizia Postale: Attenzione false campagne promozionali proviene da Rivista Cybersecurity Trends.

È in corso una campagna di phishing che utilizza in modo fraudolento il logo e il nome del Ministero della Salute per truffare gli utenti, sottraendo loro dati personali e finanziari. A segnalarlo è il CERT-AGID, che ha evidenziato come i cybercriminali stiano inviando email fraudolente, apparentemente legittime, progettate per sembrare legittime, al fine di ingannare le vittime.

Le email invitano gli utenti a cliccare su un link che li conduce a una pagina web fraudolenta, dove viene richiesto di inserire dati personali per ricevere un presunto rimborso di €265,67 da parte del Servizio Sanitario Nazionale.

Dati personali sottratti

Le informazioni richieste comprendono nome, cognome, residenza, numero di telefono e dettagli della carta di credito. Una volta compilato i campi, la vittima viene indirizzate su una seconda pagina dove viene richiesto di inserire nuovamente i dati della carta di credito. Questa tattica è stata studiata dai cybercriminali per evitare da un lato errori di battitura, e dall’altro per ottenere eventualmente l’inserimento dei dati di una seconda carta.

Azioni intraprese e aggiornamenti

Il dominio utilizzato per la truffa è stato registrato di recente sulla piattaforma Namecheap. Il CERT-AGID ha attivato tutte le misure necessarie per contrastare la campagna, tra cui diffondendo gli IoC relativi, contattando il servizio di “abuse” di Namecheap e informando il Ministero della Salute.

In data 20 gennaio 2025, è stata rilevata un’ulteriore campagna che sfrutta le stesse modalità. I nuovi Indicatori di Compromissione sono stati immediatamente diramati, e il file di download disponibile per le organizzazioni accreditate è stato aggiornato.

Il CERT-AGID raccomanda agli utenti di prestare massima attenzione a messaggi sospetti e di adottare le seguenti precauzioni:

1. Verificare attentamente l’origine dei messaggi: diffidare di comunicazioni che richiedono l’inserimento di dati personali tramite link.
2. Controllare di trovarsi sulla piattaforma ufficiale dell’ente, verificando attentamente l’indirizzo URL che compare nel browser e assicurandosi che presenti il dominio ufficiale dell’organizzazione.
3. Segnalare i messaggi sospetti: inoltrare le comunicazioni ritenute dubbie al CERT-AGID all’indirizzo malware@cert-agid.gov.it.

https://cert-agid.gov.it/news/false-comunicazioni-del-ministero-della-salute-sfruttate-per-phishing-finanziario/

L'articolo Phishing finanziario in corso: false email del Ministero della Salute proviene da Rivista Cybersecurity Trends.

La Polizia Postale segnala una campagna di phishing in corso mirata agli utenti di Telegram. Si invitano tutti a prestare massima attenzione ai messaggi ricevuti, anche se inviati da contatti memorizzati in rubrica, che invitano a cliccare su link per visualizzare contenuti e che rimandano a una pagina clone della piattaforma Telegram, dove viene richiesto l’inserimento del numero di telefono e di altri dati personali.

Inserire i dati richiesti su queste pagine e completare la procedura consente ai cybercriminali di appropriarsi dell’account Telegram, che viene poi utilizzato per inviare ulteriori messaggi truffa della stessa tipologia a tutti i contatti in rubrica.

La Polizia Postale raccomanda di attivare l’autenticazione a due fattori per una maggiore protezione dell’account e di controllare le sessioni attive su altri dispositivi tramite l’apposita funzione dell’applicazione, rimuovendo quelle non riconosciute.

Per ulteriori informazioni e segnalazioni, rivolgersi alla Polizia Postale attraverso il sito ufficiale www.commissariatodips.it

https://www.commissariatodips.it/notizie/articolo/attenzione-nuova-campagna-di-phishing-rivolta-agli-utenti-telegram/index.html

L'articolo Polizia Postale: attenzione, phishing contro utenti Telegram proviene da Rivista Cybersecurity Trends.

NoiPA, la piattaforma sviluppata dal Dipartimento dell’Amministrazione Generale del personale e dei servizi (DAG) del Ministero dell’Economia e delle Finanze (MEF), dedicata alla gestione del personale della Pubblica Amministrazione, ha pubblicato un avviso riguardante tentativi di phishing ai danni degli utenti della piattaforma.

Queste mail fraudolente sono inviate da un falso Servizio Clienti NoiPA e invitano a cliccare su un link ingannevole (“noipa.gov.mef”) per accedere alla propria Area Riservata.

Si tratta di un tentativo di frode informatica volto a sottrarre dati personali e informazioni sensibili attraverso comunicazioni all’apparenza molto simili a quelle ufficiali.

Come proteggersi

Per evitare di cadere vittima di questi attacchi, NoiPA invita gli utenti a: non cliccare su link presenti in comunicazioni sospette, verificando sempre l’autenticità del mittente prima di interagire con il contenuto della comunicazione.

Inoltre, sottolinea che l’unico indirizzo ufficiale per accedere alla propria Area Riservata è: noipa.mef.gov.it e che, per motivi di sicurezza, NoiPA non richiede mai di fornire dati personali attraverso mail, SMS o applicazioni non ufficiali.

Infine, NoiPA raccomanda di proteggere la propria identità digitale accedendo ai servizi online solo tramite connessioni sicure e dispositivi con software antivirus aggiornati, e consiglia di monitorare regolarmente la propria Area Riservata per rilevare eventuali accessi non autorizzati.

In caso di attività sospette, si invita a contattare prontamente il Supporto NoiPA per le opportune segnalazioni.

https://noipa.mef.gov.it/cl/web/guest/-/noipa-sicuri-tentativi-di-phishing-in-corso

L'articolo Phishing in corso contro NoiPA proviene da Rivista Cybersecurity Trends.

L’Agenzia delle Entrate ha pubblicato un avviso per mettere in guardia i cittadini contro una nuova ondata di false comunicazioni relative a presunti rimborsi fiscali. Si tratta di un’ennesima campagna di phishing finalizzata a ingannare le vittime invogliandole a compilare un modulo web per ottenere un fantomatico rimborso.

Le e-mail fraudolente di questa nuova campagna presentano le seguenti caratteristiche:

• Mittente: indirizzo estraneo all’Agenzia delle Entrate
• Oggetto: “Avviso di Rimborso – ITXXXXXXXXXX” dove XXXXXXXXXX è variabile e casuale
• Riferimento nel corpo del messaggio a un fantomatico rimborso fiscale a favore della vittima
• Presenza di un link “Modulo di rimborso” che rimanda a un modulo pubblicato su un portale contraffatto sotto il controllo dell’hacker
• Firma: “Agenzia delle Entrate – Direzione Provinciale”
• Senso d’urgenza generale

Un esempio di e-mail malevola riporta il seguente testo: “Spett.le Contribuente, con la presente comunicazione si informa che è stato emesso un rimborso a suo favore. Per completare l’erogazione del rimborso, la preghiamo di compilare accuratamente il modulo di rimborso. Si precisa che il rimborso non potrà essere erogato senza la ricezione del modulo compilato. Cordiali saluti”, seguito da falsa firma.

Cliccando sul link “Modulo di rimborso” presente nell’e-mail, l’utente viene indirizzato a un falso modulo di rimborso elettronico che, riproducendo in parte l’aspetto del portale ufficiale dell’Agenzia delle Entrate, induce l’utente a inserire dati personali e altre informazioni da sfruttare per successive azioni fraudolente.

A differenza delle precedenti campagne di phishing analoghe, questa nuova strategia potrebbe visualizzare l’importo del rimborso direttamente sulla pagina web fraudolenta, anziché nell’e-mail malevola. Inoltre, le e-mail sono prive di errori grammaticali o ortografici, grazie all’uso strumenti di Intelligenza Artificiale da. Parte dei cybercriminali. Un ulteriore elemento di pericolo è che tali comunicazioni potrebbero essere inviate anche alla casella di posta elettronica certificata (PEC) delle vittime, aumentando il rischio di cadere nel tranello.

L’Agenzia delle Entrate raccomanda di prestare la massima attenzione e, qualora si ricevessero e-mail sospette, di non cliccare sui link in esse presenti, di non scaricare, aprire e compilare eventuali allegati, di non fornire credenziali d’accesso, dati personali e le coordinate bancarie in occasione di eventuali telefonate legate a questo tipo di fenomeni e di non ricontattare assolutamente il mittente di eventuali comunicazioni.

In caso di dubbi sulla veridicità di una comunicazione ricevuta a nome dell’Agenzia, è sempre preferibile verificare preliminarmente consultando la pagina “Focus sul phishing”, rivolgersi ai contatti reperibili sul portale istituzionale www.agenziaentrate.gov.it o direttamente all’Ufficio territorialmente competente.

https://www.agenziaentrate.gov.it/portale/avviso-del-18-febbraio-2025

L'articolo Agenzia delle Entrate avvisa: false comunicazioni su rimborsi fiscali proviene da Rivista Cybersecurity Trends.

Check Point Research (CPR) ha rilevato un significativo aumento dei siti Web dedicati a San Valentino e al tema dell’amore. Nel solo gennaio 2025, sono stati osservati oltre 18.000 nuovi siti, registrando un incremento del 5% rispetto al mese precedente.

Di questi siti, tuttavia, 1 su 72 è stato identificato come malevolo o potenzialmente rischioso, evidenziando una crescente minaccia per gli utenti che navigano o effettuano acquisti legati alla festa degli innamorati.

L’analisi ha mostrato un aumento del 123% nella creazione di nuovi siti legati a San Valentino nell’ultimo mese, in linea con le tendenze degli anni precedenti. I criminali informatici sfruttano infatti l’occasione per lanciare campagne di phishing, truffe e attacchi che puntano a rubare dati personali e informazioni finanziarie.

Gli utenti sono invitati a fare attenzione a offerte troppo vantaggiose, siti poco conosciuti e URL sospetti, proteggendosi con strumenti di sicurezza adeguati e verificando sempre l’autenticità delle piattaforme online.

Esempio di campagna e-mail

Alla fine di gennaio, Check Point Research (CPR) ha identificato una campagna di phishing via e-mail mirata ai consumatori, basata su un’offerta fraudolenta per vincere un “cesto di San Valentino”. Le e-mail, caratterizzate dall’oggetto accattivante “Hai vinto… un cesto di San Valentino”, erano quasi identiche tra loro, differenziandosi unicamente per il nome del negozio.

Ogni messaggio invitava i destinatari a rispondere a un breve questionario, promettendo in cambio un cesto regalo a tema San Valentino e utilizzando la stessa immagine accattivante in tutte le comunicazioni. Lo scopo degli aggressori era spingere le vittime a cliccare su link malevoli, sfruttando la promessa della ricompensa per attirare l’attenzione. Questi link, segnalati da numerosi motori di sicurezza come phishing, erano probabilmente progettati per sottrarre informazioni personali e dati di pagamento degli utenti.

Esempi di e-mail provenienti dalla stessa campagna di phishing che impersonificano marchi popolari

Consigli pratici per evitare il phishing

• Evitare di interagire con le e-mail e quindi con i messaggi di phishing sospetti. Se un’e-mail contiene un link sconosciuto, un allegato inaspettato o richiede una risposta, astenetevi dal cliccare, aprire o rispondere.
• Rimuovere l’e-mail dopo la segnalazione dalla casella di posta per evitare interazioni accidentali in futuro.
• Non condividere mai le proprie credenziali. Il furto di credenziali è un obiettivo comune dei cyberattacchi. Molte persone riutilizzano gli stessi nomi utente e le stesse password per molti account diversi, quindi rubando le credenziali di un singolo account è probabile che un aggressore possa accedere a diversi account online dell’utente. Di conseguenza, gli attacchi di phishing sono progettati per rubare le credenziali di accesso in vari modi.
• Fare attenzione alle offerte di acquisto troppo belle per essere vere: uno sconto dell’80% su un nuovo iPhone o su un gioiello di solito non è un’opportunità di acquisto affidabile o degna di fiducia.
• Verificare sempre che si stia acquistando da un sito autentico, evitando di cliccare sui link promozionali contenuti nelle e-mail, ma cercando piuttosto su Google il rivenditore desiderato e cliccando sul link dalla pagina derivante da quei risultati.

Il CERT-AGID ha individuato una campagna di phishing che sfrutta DocuSign, nota piattaforma largamente utilizzata per la firma elettronica e la gestione dei documenti digitali. In questa ondata di attacchi, i malintenzionati inviano email contraffatte contenenti allegati HTML appositamente progettati per rubare le credenziali degli utenti, consentendo agli aggressori di accedere ai loro account e alle informazioni sensibili.

Come avviene l’attacco

L’attacco comincia con un’email apparentemente autentica che invita gli utenti ad aprire un allegato HTML. Una volta aperto, si viene indirizzati a una pagina web contenente un modulo di login che imita fedelmente l’interfaccia di quello di DocuSign. L’obiettivo, come dedotto dal codice JavaScript incluso nel file HTML, è quello di inviare le credenziali della vittima a un bot Telegram gestito dai cybercriminali.

Perché DocuSign è un obiettivo interessante per i criminali informatici?

DocuSign è utilizzato da professionisti e aziende per firmare digitalmente contratti e documenti riservati. Con l’accesso a un account DocuSign, i criminali possono ottenere documenti riservati, contratti e informazioni personali per commettere frodi o creare contratti falsi. Inoltre, le credenziali trafugate possono essere vendute nel dark web, aumentando le possibilità di ulteriori abusi da parte di altri malintenzionati, aumentando ulteriormente il rischio per le vittime.

Il CERT-AGID ha prontamente emesso l’avviso pubblico e comunicato, attraverso il Flusso IoC, l’unico indicatore utile: l’URL del bot Telegram utilizzato per la trasmissione delle credenziali. Tuttavia, gli hash del file HTML variano di volta in volta, poiché i truffatori personalizzano ogni file con l’indirizzo email del destinatario, rendendo più difficile il rilevamento automatico.

Per proteggersi da minacce come questa, il CERT-AGID raccomanda di rimanere vigili e informati sulle minacce di phishing per tutelare i propri dati, prestare attenzione a comunicazioni sospette e adottare semplici precauzioni che possono fare la differenza nella salvaguardia delle informazioni personali e professionali.

https://cert-agid.gov.it/news/false-notifica-docusign-credenziali-trasmesse-a-bot-telegram/

L'articolo Phishing: falsa notifica DocuSign ruba credenziali proviene da Rivista Cybersecurity Trends.

Il CSIRT Italia ha rilevato un riacutizzarsi di una campagna di phishing a tema Hype, già trattata nel bollettino AL02/240925/CSIRT-ITA. Questo attacco informatico viene perpetrato tramite SMS, con l’obiettivo di sottrarre le credenziali d’accesso ai servizi bancari delle vittime.

L’SMS, che sembra provenire da una numerazione legittima, invita l’utente a cliccare su un link per verificare la propria identità sul portale del’’istituto finanziario al fine di evitare il blocco del conto bancario.

Se la vittima clicca sul link, dopo un breve “splash screen” che simula l’app mobile ufficiale, viene presentato un form di login falso per raccogliere le credenziali bancarie. Proseguendo con l’inserimento dei dati, l’utente riceve un messaggio di errore che afferma che il login non è andato a buon fine, con la rassicurazione di essere ricontattato da un operatore per risolvere il problema. Questo passaggio è spesso utilizzato per raccogliere ulteriori informazioni necessarie all’accesso sul sito dell’istituto di credito.

Per proteggersi da questi attacchi, il CSIRT Italia consiglia alle organizzazioni e agli utenti di adottare le seguenti misure:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, lo smishing e il vishing, diffidando da comunicazioni inattese;
• evitare di inserire i propri dati sensibili su portali di cui non si conosce l’affidabilità;
• evitare di dar seguito a comunicazioni di questo tipo;
• segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT.

Inoltre, si consiglia di implementare gli Indicatori di Compromissione (IoC) sui propri sistemi di sicurezza per monitorare eventuali attività malevole.

Per maggiori dettagli, è possibile consultare il bollettino completo sul sito ufficiale del CSIRT Italia.

https://www.csirt.gov.it/contenuti/smishing-nuova-campagna-a-tema-hype-al01-241115-csirt-ita

L'articolo CSIRT Italia avvisa: smishing a tema Hype proviene da Rivista Cybersecurity Trends.