Truffe online
Malware trasmesso da Google Ads prosciuga l’intero portafoglio di criptovalute di un influencer NFT
Tempo di lettura: 2 minuti. Un link pubblicitario sponsorizzato su Google ha nascosto un malware che ha travasato migliaia di dollari di criptovalute e NFT dal portafoglio di un influencer.

Un influencer di NFT sostiene di aver perso “una quantità che gli ha cambiato la vita” del suo patrimonio netto in token non fungibili (NFT) e criptovalute dopo aver scaricato accidentalmente un software dannoso trovato tramite un risultato di ricerca di Google Ad.
L’influencer pseudo-anonimo noto su Twitter come “NFT God” ha pubblicato una serie di tweet il 14 gennaio, descrivendo come il suo “intero sostentamento digitale” sia stato attaccato, compresa la compromissione del suo portafoglio di criptovalute e di diversi account online.
NFT God, conosciuto anche come “Alex”, ha detto di aver usato il motore di ricerca di Google per scaricare OBS, un software di streaming video open-source. Ma invece di cliccare sul sito ufficiale, ha cliccato sulla pubblicità sponsorizzata di quello che pensava fosse lo stesso software.
Solo ore dopo, dopo una serie di tweet di phishing pubblicati dagli aggressori su due account Twitter gestiti da Alex, si è reso conto che il malware era stato scaricato dalla pubblicità sponsorizzata insieme al software desiderato.
In seguito a un messaggio di un conoscente, Alex ha notato che anche il suo portafoglio di criptovalute era stato compromesso. Il giorno successivo, gli aggressori hanno violato il suo account Substack e hanno inviato e-mail di phishing ai suoi 16.000 abbonati.
L’aggressore ha spostato la maggior parte degli ETH attraverso diversi portafogli prima di inviarli alla borsa decentralizzata (DEX) FixedFloat, dove sono stati scambiati con criptovalute sconosciute. Alex ritiene che “l’errore critico” che ha permesso l’hacking del portafoglio sia stato quello di impostare il suo portafoglio hardware come un portafoglio caldo, inserendo la sua frase di seme “in un modo che non lo mantenesse più freddo”, o offline, il che ha permesso agli hacker di ottenere il controllo delle sue criptovalute e degli NFT.
Purtroppo, l’esperienza di NFT God non è la prima volta che la comunità delle criptovalute ha a che fare con un malware che ruba criptovalute negli annunci di Google. Un rapporto del 12 gennaio della società di cybersicurezza Cyble ha messo in guardia da un malware per il furto di informazioni chiamato “Rhadamanthys Stealer” che si diffonde attraverso Google Ads su “pagine web di phishing molto convincenti”.
A ottobre, l’amministratore delegato di Binance Changpeng “CZ” Zhao ha avvertito che i risultati di ricerca di Google stavano promuovendo siti web di phishing e truffe di criptovalute. Cointelegraph ha contattato Google per un commento, ma non ha ricevuto risposta. Nel suo centro assistenza, tuttavia, Google ha dichiarato di “collaborare attivamente con inserzionisti e partner fidati per aiutare a prevenire il malware negli annunci”.
Descrive inoltre l’uso di “tecnologie proprietarie e strumenti di rilevamento di malware” per scansionare regolarmente gli annunci di Google.
Notizie
Phishing, attenzione ai falsi messaggi che sembrano provenire da Netflix
Tempo di lettura: 3 minuti. La campagna di phishing tenta di carpire i dati bancari delle vittime attraverso messaggi apparentemente riconducibili alla nota piattaforma di streaming

Mentre Netflix annuncia di non consentire più agli utenti di condividere le password gratuitamente fuori dal nucleo familiare e che quindi introdurrà l’abbonamento di condivisione, ecco che una nuova campagna di phishing prende piede cavalcando l’onda di questa notizia: Un messaggio SMS chiede di aggiornare l’iscrizione per continuare a usufruire dei servizi offerti dalla nota piattaforma di streaming.

La pagina di landing
Come si può vedere i truffatori allo scopo di carpire i dati bancari delle vittime inducono, attraverso un SMS apparentemente riconducibile a Netflix, a cliccare su un link per un aggiornamento dati. Il messaggio che avvisa l’utente ad aggiornare l’iscrizione, infatti contiene uno short link che reindirizza verso un sito clone (https://netflxitaly[.]com) che presenta una pagina di accesso con loghi e grafica molto somiglianti agli originali.

In realtà attraverso questa richiesta di accesso tutti i dati forniti (credenziali, dati fatturazione e bancari) verranno carpiti e riutilizzati successivamente in maniera fraudolenta dagli autori della truffa.
La successione delle richieste
Il riquadro “Accedi” presentato nasconde un form login che in realtà trasmette i dati inseriti tramite metodo POST e una pagina “send.php” prima e “maj.php” dopo verso un db online presidiato dai criminali.

Dando seguito al login, ecco la successione delle richieste che vengono propinate in cascata attraverso dei moduli dati.



Consigli
La Polizia Postale in un post sul blog raccomanda:
“Se sei cliente di una piattaforma che offre servizi di streaming, il primo consiglio è in ogni caso quello di non cliccare mai sui link ricevuti ma di loggarsi direttamente sulla piattaforma ufficiale, tramite browser o dall’applicazione. Ti consigliamo di verificare nella sezione di gestione del profilo, lo stato dell’abbonamento e dei pagamenti e di aggiornare le informazioni necessarie esclusivamente attraverso questo canale. In generale, è importante non inserire mai dati personali e bancari, specialmente se si viene reindirizzati su un sito dopo aver cliccato su un link contenuto in un messaggio ricevuto.”
Per conto suo anche Netflix sulla sua pagina ufficiale nel ricordare che non verranno mai inviate ai propri utenti richieste di aggiornamento dei dati personali o di pagamento tramite e-mail o SMS e di non dare seguito ad alcuna richiesta del genere, invita ad inoltrare ogni messaggio sospetto alla casella di posta elettronica phishing@netflix.com.
Al momento della stesura di questo articolo il dominio fraudolento Google LLC creato il 20/01/2023 con certificato TLS gratuito Let’s Encrypt e IP location Mosca risulta ancora online.


Truffe online
PayPal hackerati 35.000 clienti con la tecnica del Credit Stuffing

Giovedì scorso, PayPal ha iniziato a notificare a quasi 35.000 dei suoi clienti che i loro conti sono stati violati tra il 6 e l’8 dicembre. Durante questi due giorni, PayPal sostiene che non è stato rubato denaro a nessuno.
Cosa è successo con l’attacco a PayPal?
Gli hacker sono riusciti a ottenere informazioni personali e private, tra cui nomi e cognomi, date di nascita, indirizzi fisici, numeri di previdenza sociale e codici fiscali. PayPal ha bloccato l’intrusione entro due giorni, ha resettato le password degli utenti colpiti e ha dichiarato che non sono state tentate transazioni non autorizzate. L’indagine interna di PayPal ha rivelato che gli hacker hanno utilizzato un metodo noto come credit stuffing per violare i conti delle vittime.
Come hanno fatto gli hacker a violare questi conti?
L’indagine interna di PayPal ha rivelato che gli hacker hanno utilizzato un metodo noto come credit stuffing per violare i conti di queste vittime. Il Credential stuffing consiste nell’utilizzo di credenziali esistenti già in circolazione nel dark web per entrare nei conti privati. Utilizzano bot con elenchi di nomi utente e password acquisiti in precedenti violazioni di dati e provano le credenziali in diversi servizi online, nella speranza che i clienti non abbiano cambiato di recente le loro password. In questo caso, chi utilizza le stesse password per più account diversi potrebbe incorrere in un grosso problema.
Cosa è il credit stuffing?
Il credit stuffing è una forma di frode che coinvolge la creazione di account falsi o l’utilizzo di account esistenti per acquistare merci o servizi in modo fraudolento. Il truffatore può acquistare merci costose o servizi utilizzando carte di credito rubate o account di pagamento fraudolenti e poi rivendere questi beni o servizi per un profitto. Oppure può utilizzare le carte di credito rubate o gli account di pagamento per acquistare piccole quantità di merci o servizi da molti fornitori diversi, in modo da evitare di attirare l’attenzione dei fornitori o delle autorità. Il credit stuffing può causare significativi danni economici alle aziende e alle persone che vengono ingannate.
Truffe online
Profilo Facebook e casella mail Live.it cancellati. Impossibile da risolvere
Tempo di lettura: 2 minuti. Un caso di violenza gratuita, attualmente impossibile da risolvere.

La redazione di Matrice Digitale è stata contattata da un utente Facebook che ha visto il suo account sparire nel giro di una settimana. La premessa è d’obbligo: la password utilizzata dall’utente era molto debole e facile da scoprire anche se non si conosceva direttamente la vittima.
Rispetto alle altre volte, in questo caso ci si è trovati dinanzi un vero e proprio atto di eliminazione di due domicili virtuali della stessa persona in occasione della stessa operazione. Andando per gradi, in primo luogo si è provato a ripristinare l’account attraverso il recupero password della piattaforma Facebook e proprio questo fattore ha mostrato l’altra verità sconvolgente: la mail pippo@live.it è stata cancellata e non risulta più negli archivi della Microsoft.
Ogni qualvolta si è provato ad accedere alla mail, utilizzata quotidianamente e di una longevità ventennale, Microsoft non ha dato l’opportunità di contattare il servizio di assistenza perché non riconosceva la mail per la quale era chiesto l’aiuto. La vittima in questione è una persona qualunque, non in possesso di requisiti di appetibilità da parte degli aggressori sia di natura economica sia contenutistica.
L’atto di entrare nel suo profilo Facebook e di chiuderlo unitamente al suo indirizzo mail live.it appartiene ad una violenza gratuita con un fine identificabile solo nella mitomania di essere riusciti a sferrare un attacco cibernetico. Il problema adesso resta in capo la vittima che abbiamo provato ad aiutare , ma non ci sono i presupposti per poter agire secondo una case history acquisita nel tempo grazie all’aiuto fornito ad altri lettori.
Al lettore possiamo fornire solo l’informazione di:
- Utilizzare una password più forte
- Utilizzare password diverse quando i profili social o account di altri siti Internet utilizzano indirizzi mail di riferimento per il recupero degli account
- Iniziare ad associare anche il numero di telefono per potenziare l’autenticazione a due fattori
-
Inchieste3 settimane fa
ChatGPT: i criminali informatici già la usano per sviluppare malware?
-
Inchieste3 settimane fa
La Russia sta perdendo la guerra cibernetica?
-
L'Altra Bolla2 settimane fa
Abbiamo chiesto a ChatGPT della guerra in Ucraina e delle sue cause.
-
OSINT2 settimane fa
Twitter: la sfida tra Corriere e Repubblica è vinta da La Verità
-
L'Altra Bolla2 settimane fa
Ferragni contro Lucarelli: chi ha ragione e chi ha torto
-
Inchieste2 settimane fa
NoName057(16) a Matrice Digitale: stiamo analizzando il perimetro cibernetico italiano
-
L'Altra Bolla2 settimane fa
Shakira e Pique: quando il divorzio fa fare soldi. Altro che Blasi e Totti …
-
DeFi3 settimane fa
USA, banca Silvergate: colpita da 8 miliardi di dollari di prelievi di criptovalute