Truffe online
PayPal hackerati 35.000 clienti con la tecnica del Credit Stuffing

Giovedì scorso, PayPal ha iniziato a notificare a quasi 35.000 dei suoi clienti che i loro conti sono stati violati tra il 6 e l’8 dicembre. Durante questi due giorni, PayPal sostiene che non è stato rubato denaro a nessuno.
Cosa è successo con l’attacco a PayPal?
Gli hacker sono riusciti a ottenere informazioni personali e private, tra cui nomi e cognomi, date di nascita, indirizzi fisici, numeri di previdenza sociale e codici fiscali. PayPal ha bloccato l’intrusione entro due giorni, ha resettato le password degli utenti colpiti e ha dichiarato che non sono state tentate transazioni non autorizzate. L’indagine interna di PayPal ha rivelato che gli hacker hanno utilizzato un metodo noto come credit stuffing per violare i conti delle vittime.
Come hanno fatto gli hacker a violare questi conti?
L’indagine interna di PayPal ha rivelato che gli hacker hanno utilizzato un metodo noto come credit stuffing per violare i conti di queste vittime. Il Credential stuffing consiste nell’utilizzo di credenziali esistenti già in circolazione nel dark web per entrare nei conti privati. Utilizzano bot con elenchi di nomi utente e password acquisiti in precedenti violazioni di dati e provano le credenziali in diversi servizi online, nella speranza che i clienti non abbiano cambiato di recente le loro password. In questo caso, chi utilizza le stesse password per più account diversi potrebbe incorrere in un grosso problema.
Cosa è il credit stuffing?
Il credit stuffing è una forma di frode che coinvolge la creazione di account falsi o l’utilizzo di account esistenti per acquistare merci o servizi in modo fraudolento. Il truffatore può acquistare merci costose o servizi utilizzando carte di credito rubate o account di pagamento fraudolenti e poi rivendere questi beni o servizi per un profitto. Oppure può utilizzare le carte di credito rubate o gli account di pagamento per acquistare piccole quantità di merci o servizi da molti fornitori diversi, in modo da evitare di attirare l’attenzione dei fornitori o delle autorità. Il credit stuffing può causare significativi danni economici alle aziende e alle persone che vengono ingannate.
Truffe online
Truffa Facebook Little Flowers ai danni de La Repubblica: la matrice è cinese

In questi giorni abbiamo analizzato come attraverso Google Adwords è possibile veicolare dei software apparentemente legittimi, ma che in realtà trasformano il proprio dispositivo ostaggio di file malevoli. Anche su Facebook la storia non è differente e la strategia truffaldina sembrerebbe avere alle spalle l’attività di un governo. La pagina nominata Little Flowers sta conducendo delle sponsorizzate che sfruttano il nome del quotidiano La Repubblica per indurre gli utenti a scaricare dapprima un’app di trading, per poi proporne una di incontri.

Nella prima immagine è possibile notare come il post sponsorizzato proponga un articolo di Repubblica nel quale si promuove la potenzialità della valuta digitale in cambio di quella cartacea ed il punto di riferimento è ovviamente lo Yuan cinese. Basta poco per comprendere che il tasto “scopri di più” in realtà non è funzionante perché è parte dell’immagine caricata così com’è. Nessun articolo è stato pubblicato da la Repubblica con questo titolo e con questa finalità.

Cliccato sul link, o meglio sull’immagine fraudolenta che punta ad un link, si apre un articolo di Forbes che parla della criptovaluta ufficiale della Cina, che in realtà è una valuta digitale perchè è quella ufficiale adottata dal Governo. Osservando però il link a cui fa riferimento lo pseudo articolo di Forbes, è possibile notare che punta a un dominio denominato wiseoffers.net e che di fatto non corrisponde a quello ufficiale della nota testata giornalistica internazionale.

Procedendo nella lettura dell’articolo si arriva finalmente ad un link per ottenere la famosa valuta digitale cinese “che sta spiazzando il mondo della finanza globalista ancorata al dollaro ed in contrasto alla valuta più utilizzata nei mercati”. Addirittura c’è un claim che propone “un ritorno di 4000 e 400 € per ogni singolo euro investito”.

Una volta entrati in possesso del link per registrarsi, si apre una app di incontri che sembrerebbe essere stata sviluppata proprio in Cina.

Il sito internet Wiseoffers.net è apparentemente situato in Lituania ed è registrato in Islanda con l’offuscamento della proprietà.

Ovviamente nulla è come sembra e soprattutto come viene proposto da una pagina Facebook che ha pochi utenti, ma una grande capacità di convertire eventuali sponsorizzate agganciando ignari utenti che credono di guadagnare e invece si ritrovano in un piattaforma che offre compagnia proprio come Tinder ed altre su cui andrebbe aperta una segnalazione ad Apple, nonostante abbia superato l’esame del centro sviluppo dell’AppStore. Sono frequenti inoltre i casi di utenti truffati da “donne” cinesi sulle piattaforme di trading ed in questo caso specifico le premesse ci sono tutte.
Truffe online
Truffa da 25.000 euro su Hiobit.com : la matrice è asiatica
Tempo di lettura: 2 minuti. Da Tinder ad un sito internet di trading, come un profilo asiatico è riuscito a spillare tanti soldi ad un cittadino italiano.

Al numero di redazione giunge una richiesta di informazione su un sito Internet di trading: Hiobit.com .

Pasquale, nome di fantasia, ha chiesto informazioni sulla piattaforma e la risposta è stata quasi immediata: sconosciuta e non accreditata a livello globale. Il vero problema però doveva ancora sorgere perché l’utente ci ha raccontato di aver investito una cifra pari a 25.000 euro circa. Dopo una settimana siamo ritornati sulla piattaforma e Microsoft Edge la riconosce pericolosa e ne impedisce l’accesso. Con il senno di poi è stato facile.

Mentre su Google Chrome, dopo l’avviso, c’è la possibilità di accedervi ed è sembrato anche riammodernato nel suo stile grafico.

Secondo Scamdoc, quando il sito era considerato “credibile” lo descriveva non in linea con i requisiti minimi di valutazione che sono:
- Dominio di poca durata
- Proprietario nascosto
- Uno storico di attività molto breve

La proprietà è un altro campanello d’allarme se analizziamo anche l’intestazione della società che detiene il dominio, notiamo che è situata nelle isole Mauritius, considerate un paradiso fiscale a tutti gli effetti.
La matrice “Cinese”
Secondo quanto riferito dalla vittima, chi gli ha proposto di investire sul sito internet è stata una donna cinese conosciuta su Tinder, che ha bloccato il malcapitato appena ha iniziato a subodorare la truffa, come già avvenuto nella “doppia truffa” subito da un altro lettore della nostra testata. Così come in quel caso, non si è trattato di una truffa amorosa, ma semplicemente di un’offerta di investimento con la solita promessa di guadagno facile che però non si è avverata.
Un appunto da fare, secondo l’esperienza maturata in questi mesi, è che la donna “cinese” potrebbe essere asiatica. Le nazioni dove si articolano le gang dedite alle truffe finanziarie sono Vietnam, Corea del Nord o Sud. La Cina è presente ma nell’universo occidentale ve n’è poca traccia.
Truffe online
Erogazione prestazioni INPS, attenzione alla truffa
Tempo di lettura: 2 minuti. Numerosi i tentativi di truffa via SMS

Ci sono stati segnalati numerosi sms provenienti da un falso mittente INPS in cui l’utente viene invitato a cliccare su un link per aggiornare i propri dati anagrafici allo scopo di continuare a fruire dell’erogazione delle prestazioni dell’istituto.

Tali link non conducono a pagine dell’Istituto, sebbene utilizzino i loghi e colori dell’INPS ma a pagine che possono sottrarre con l’inganno i dati inseriti dagli ignari interlocutori.

Nella fattispecie gli SMS truffaldini chiedono all’utente di inserire i propri dati anagrafici. La pagina suggerita tramite link chiederà successivamente in tre step di caricare:
- copia del documento di identità fronte retro con un “Selfie con documento in mano”;
- copia fronte retro patente di guida;
- copia fronte e retro della tessera sanitaria.
La falsa pagina INPS
Il sito propinato avente un nome ingannevole https://istitutonazionaleprevidenziale[.]com/ presenta un certificato TLS rilascaito dall’autorità di certificazione gratuita Let’s Encrypt e indirizzo IP geolocalizzato in Moldova.
L’implementazione è molto semplice e presenta un unico form “wpforms_form_id=9″ che tramite una richiesta HTTP POST invia tutti dati, di volta in volta inseriti durante le fasi proposte, ad un server DB in ascolto sullo stesso dominio.




Ricordiamo che lo smishing è una declinazione del phishing che invece di utilizzare messaggi di posta elettronica come mezzo utilizza messaggi SMS: i truffatori provano a rubare dati sensibili attraverso l’invio di SMS che fingono di provenire da una fonte fidata.
Di seguito si propongono tutti gli IoC del sito fraudolento.
https://urlscan.io/result/e78cf78a-6744-4f76-a0de-47963a307bc8/
Il dominio in oggetto risulta ancora online nel momento della stesura di questo articolo.
-
L'Altra Bolla3 settimane fa
Greta Thunberg: arrestata dalla polizia tedesca con foto in posa. Che spettacolo !
-
Inchieste3 settimane fa
Microsoft licenzia 11.000 dipendenti, 100.000 assunti in Italia grazie all’ACN
-
L'Altra Bolla2 settimane fa
Azov riabilitato da Meta: Facebook e Instagram danno l’ok alla propaganda militare ucraina
-
OSINT2 settimane fa
World Economic Forum: piovono critiche e preoccupazioni nel mondo social. Le donne ne salvano l’immagine
-
Editoriali2 settimane fa
Le elezioni di MidTerm sono state decise dalla magistratura e dall’FBI?
-
Editoriali2 settimane fa
A causa di Chatgpt, Google deve correre ai ripari per salvare il suo algoritmo
-
Editoriali2 settimane fa
Guasto Libero e Virgilio: cosa è successo, cosa non torna
-
Editoriali2 settimane fa
Facebook censura i meme: l’ironia e la satira censurate dai fact checker