Truffe online
Email di phishing: notifica di rinnovo dominio Aruba
Tempo di lettura: 3 minuti. Una notifica invita a rinnovare l’abbonamento al servizio di posta elettronica, effettuando un pagamento al provider di hosting

È in corso in questi giorni una campagna di phishing mirata agli utenti Aruba, diffusa attraverso e-mail spam e allo scopo di sottrarre all’interlocutore informazioni personali (nome e indirizzo e-mail) e dati di pagamento (numero carta di credito, data di scadenza e codice di sicurezza). Vediamo come analizzando un campione e-mail.
L’e-mail di phishing
La e-mail si presenta come una notifica di Aruba (Aruba.it: Notifica nuovo messaggio ! !) proveniente dall’ “Assistenza clienti”. Il testo del messaggio riferendosi ad una presunta scadenza del dominio Aruba collegato all’account della stessa vittima invita al rinnovo.

Come si vede in figura, il tasto “clicca qui” presente alla fine del messaggio è un link “http://woodenwallet[.]ru/nik/” (IP location Mosca ) che reindirizza verso la pagina di landing finale “https://myolgina-aruba-servicaer[.]de[.]cool/chino/webcss/” (IP Location Breme) ovvero un sito fraudolento.
L’indirizzo del mittente “porttsupposuppno-replybilling(at)hyperhost.ua” che dovrebbe appartenere al provider ucraino “hyperhost.ua” al momento dell’analisi non risulta attivo/esistente.
Una curiosità

L’analisi degli header nascosti mostra una curiosità. L’e-mail risulta spedita da una macchina Windows remota WIN-344VU98D3RU.
Questo hostname, secondo una analisi riportata da un blog portoghese, oltre ad essere un nome associato a moltissime macchine sparse in tutto il mondo (ben 81.503, di cui circa 45.000 nei Paesi Bassi, 25.000 in Russia, 2.500 in Turchia e 2.000 in Ucraina) è già stato associato anche ad altri attori delle minacce.
“Dopo una rapida ricerca, l’hostname sembra essere già stato associato ad altri gruppi dannosi che gestiscono diversi tipi di malware, come il bazaar ( vedi l’articolo qui ), e anche LockBit 2.0 ransomware ( dai un’occhiata qui ).” si legge nel rapporto seguranca-informatica del ricercatore di malware Pedro Tavares.

Il sito fraudolento
La pagina di landing si presenta come una pagina di pagamento gestita da Banca Sella per conto di Aruba.

Ecco il responso restituito dal servizio online urlscan.io relativamente alla pagina di landing finale.

La pagina sostanzialmente è un semplice form che dopo avere fatto un controllo di integrità dei dati digitati (tramite una funzione apposita “checkFormSubmit()“) li raccoglie e li invia agli attaccanti tramite una richiesta “POST” verso una pagina PHP “snd1.php” ospitata sullo stesso dominio della pagina di phishing.

Consigli
Si consiglia di prestare attenzione all’inserimento delle proprie credenziali e informazioni, all’interno di portali a cui si accede seguendo link ricevuti tramite posta elettronica o altri canali di messagistica.
Aruba dal canto suo disconoscendo tale comunicazione, consiglia inoltre di:
- non rispondere all’email;
- non eseguire, in generale, le operazioni indicate;
- non aprire eventuali file allegati;
- non cliccare sui link indicati;
- prendere visione dei dettagli che seguono.
Hai subito una truffa online? Vuoi segnalarci un reato o un sito Internet illegale nel clear o nel dark web? Scrivi alla nostra redazione.
Truffe online
Attenzione alla truffa LGBTQ+
Tempo di lettura: 3 minuti. I più esposti? Chi non ha fatto “coming out”

Purtroppo, nel corso degli anni, abbiamo dovuto scrivere numerosi avvertimenti ai nostri lettori circa le truffe amorose e le estorsioni sessuali.
Sebbene si tratti di termini generici, essi si riferiscono a due tipi specifici di crimini online:
- Truffa d’amore. Si tratta di un gioco di fiducia a lungo termine in cui i criminali informatici corteggiano la vostra amicizia online sotto un’identità fasulla, spesso “prendendo in prestito” immagini, un nome e una storia di vita dall’account di un altro sito di incontri. I truffatori romantici possono essere disposti a investire settimane, mesi o addirittura anni nella costruzione di una relazione online del tutto fittizia, ma apparentemente molto seria. Potrebbero anche proporvi di sposarvi. Durante questo periodo abuseranno della vostra fiducia per chiedervi “aiuto” finanziario, ad esempio per le spese di visto, le parcelle degli avvocati, i biglietti aerei, le spese mediche e molto altro ancora.
- Sextortion, noto anche come “porn scamming”. Di solito si tratta di messaggi di ricatto che affermano di aver scattato schermate che mostrano la visione di film porno online, riprendendovi allo stesso tempo con la webcam. I truffatori del porno di solito affermano di aver acquisito le loro “prove” impiantando un malware sul vostro computer per consentire loro l’accesso remoto. In realtà, non ci sono né screenshot né video, ma i criminali spesso includono alcuni dati personali dell’utente, di solito acquisiti da una vecchia violazione di dati, per spaventare l’utente e fargli credere che la storia del malware possa essere vera. I dati sono spesso un numero di telefono, un codice postale o una vostra vecchia password.
La buona notizia, nel caso di una truffa pornografica, è che i truffatori non hanno nulla su di voi e il “malware” che sostengono di aver impiantato sul vostro computer è solo un mucchio di bugie.
La cattiva notizia, tuttavia, è che esiste una forma di estorsione sessuale online che è di fatto un ibrido tra la truffa romantica e la truffa porno, in cui i criminali coinvolti hanno effettivamente dei contenuti con cui ricattarvi.
Estorsione su siti di incontri rivisitata
Questi criminali ibridi “combinati con la truffa del porno” in genere vi approcciano su un sito di incontri, proprio come i truffatori di storie d’amore di cui sopra, e corteggiano il vostro interesse, ma non si prendono il tempo necessario per estorcervi denaro per un periodo prolungato.
Invece, vi convincono a scambiare foto esplicite, spesso inducendovi a pensare di potervi fidare di loro inviandovi prima le loro foto esplicite. (Come potete immaginare, usano foto di altre persone, non le loro).
Purtroppo, la truffa si svolge proprio come quella del porno di cui sopra: “Paga il silenzio o diffonderemo la notizia a persone che non vuoi che la conoscano”.
La differenza in questo caso, ovviamente, è che i criminali hanno davvero del materiale esplicito.
A differenza dei truffatori porno della vecchia scuola, questa parte della storia non è un bluff, perché stanno usando le foto che gli avete inviato con l’errata impressione che vi possiate fidare di loro.
La cosa peggiore è che, mentre il ricatto sessuale è abbastanza grave in generale, ci sono alcune vittime specifiche che sono ancora più vulnerabili di altre, in particolare quelle la cui sessualità è un segreto.
L’avvertimento della FTC
La Federal Trade Commission (FTC), l’ente americano per la tutela dei consumatori, ha quindi lanciato un avvertimento molto particolare su questo tipo di estorsione alle persone della comunità LGBTQ+ che non sono ancora “out“.
Come spiega la FTC:
I truffatori si presentano come potenziali partner romantici su un’app di incontri LGBTQ+, chattano con voi, inviano rapidamente foto esplicite e chiedono in cambio foto simili. Se inviate le foto, inizia il ricatto. Minacciano di condividere la conversazione e le foto con i vostri amici, familiari o datori di lavoro a meno che non paghiate, di solito con una carta regalo.
Altri truffatori minacciano le persone “non dichiarate” o non ancora pienamente “out” come LGBTQ+. Potrebbero fare pressione affinché paghiate o veniate scoperti, affermando che vi “rovineranno la vita” mostrandovi foto o conversazioni esplicite.
Qualunque sia il loro scopo, vogliono solo una cosa: i vostri soldi.
Truffe online
Truffa Nexi: come evitarla
Tempo di lettura: < 1 minuto. La segnalazione arriva dalla società italiana di sicurezza informatica TgSoft

Questo nuovo tentativo di phishing si spaccia per una falsa comunicazione di Nexi.

Il messaggio segnala al ricevente che è stata rilevata un’attività non autorizzata nel suo account, viene infatti notificato che è stato effettuato un pagamento il giorno 24/06/2022 alle 06:58. Viene quindi comunicato che il pagamento è stato bloccato, e che se non è stato il cliente ad autorizzarlo è necessario collegarsi al proprio account Nexi per richiedere il rimborso, attraverso il seguente link:
Accedi al tuo account
In prima battuta notiamo che il testo dell’email è molto generico e non è presente alcun dato identificativo del cliente o dell’account collegato. La mail di alert giunge da un indirizzo email <9PMMRGG4WKQ36KV3GN4X(at)gemeinsamerleben(dot)com> che non proviene chiaramente dal dominio ufficiale di Nexi.
Chi dovesse malauguratamente cliccare sul link Accedi al tuo account verrà dirottato su una pagina WEB che non ha nulla a che vedere con il sito ufficiale di Nexi, ma che è già stata segnalata come pagina /SITO INGANNEVOLE…. in quanto gestito da cyber-criminali il cui obiettivo è quello di entrare in possesso dei vostri dati più preziosi per poterli utilizzare a scopi criminali..
Truffe online
Phishing a tema delivery, attenzione agli ordini in sospeso
Tempo di lettura: 3 minuti. Numerosi i casi segnalati

In questi giorni numerosi utenti stanno segnalando una nuova campagna di phishing a tema delivery veicolata tramite messaggi SMS e di posta elettronica. I testi dei messaggi facendo riferimento ad un pacco in attesa di consegna invitano l’interlocutore a seguire le istruzioni per pianificarne la consegna ,propinando pagine di falsi servizi di tracking.



In tutti i casi le notifiche portano verso una pagina di landing strutturalmente identica ma con loghi, grafica e domini diversi. Ecco alcuni esempi.


Le richieste
Tramite una serie di informazioni richieste in cascata su come e quando ricevere il presunto pacco, lo scopo ultimo è quello di reindirizzare la vittima verso siti terzi (“https://sitebest[.]online/c/wsrBK85″, “https://coolbazaar[.]site/c/AjwyOJk“) convincendola a compilare un form finale con i propri dati personali e della carta di credito per pagare una esigua spesa (€2,00) di deposito a carico del destinatario.
Ecco la successione delle pagine con intestazione di un fantomatico servizio di tracking CLS (altre pagine della stessa campagna possono presentarsi con loghi Serviceposte, Poste Italiane, DHL o altro).






Dopo avere inserito e confermato le informazioni (nome, cognome, indirizzo, paese, città, cap, telefono e indirizzo e-mail) e i dati di pagamento, il sito in ogni caso restituisce una segnalazione di errore a causa della transazione bancaria non andata a buon fine.

In realtà tutti i dati inseriti sono stati memorizzati e inviati tramite “POST” al database del server C2 in ascolto sullo stesso dominio, a completa disposizione dei criminali per compiere acquisti abusivi per conto della vittima. Con molta probabilità la truffa potrà proseguire anche telefonicamente.
I consigli di Matrice Digitale
Si raccomanda sempre di fare molta attenzione ai link e alle informazioni indicati nei messaggi e di aprirli solo dopo averne accertato la veridicità della fonte di provenienza.
Il non inserire mai i propri dati personali e soprattutto quelli bancari deve diventare un imperativo categorico.
Hai subito una truffa online? Vuoi segnalarci un reato o un sito Internet illegale nel clear o nel dark web? Scrivi alla nostra redazione.
-
Editoriali3 settimane fa
L’Enisa conferma le analisi di Matrice Digitale sulla guerra cibernetica
-
Inchieste2 settimane fa
Lista filoputin e rapporto sulla propaganda russa: DIS influenzato dagli USA?
-
Editoriali2 settimane fa
La Russia ha unito il mondo della geopolitica e della sicurezza informatica
-
Inchieste2 settimane fa
Deep Web e Dark Web: quali sono le differenze?
-
Tech2 settimane fa
WhatsApp: nuova funzione per scoprire le chiamate perse
-
Inchieste2 settimane fa
Lazarus ha colpito molte aziende in giro per il mondo usando LinkendIn
-
Inchieste2 settimane fa
Scopriamo Five Eyes o le Cinque Sorelle che da anni ci spiano attraverso Internet
-
Tech2 settimane fa
Spyware, quando a spiarci è un malware