Non c'è pace per l'Italia in questo periodo: ancora alert, ancora CERT-PA. L'alert è stato diramato nella giornata di ieri e riguarda una campagna di phishing il cui scopo è la sottrazione delle credenziali di carte di credito degli utenti Aruba. Le email truffaldine sono indirizzate verso caselle email della Pubblica Amministrazione e di aziende private.
L'email è scritta in italiano corretto, senza evidenti errori di sintassi o ortografia che solitamente rendono immediatamente distinguibile un tentativo di phishing. Il Cert-PA ha pubblicato, a titolo esemplificativo, una email campione di questa campagna, visibile sotto:
Fonte: https://www.cert-pa.it |
Da ulteriori analisi, spiegano i tecnici del CERT-PA, emerge che l'IP di origine di questi messaggi è 128.199.34.187, con host host1plus.com: appartiene ad un provider di servizi in cloud localizzato in Olanda. Siamo in presenza quindi, del cosiddetto spoofing: questa tecnica di attacco si basa sulla falsificazione dell'identità. In dettaglio, l'email spoofing prevede la creazione di email con indirizzo del mittente contraffatto, al fine di ingannare il destinatario sulla fonte del messaggio.
L'email contiene due link, uno dei quali rimanda alla più classica pagina di phishing: la pagina web che si apre, infatti, è una copia verosimile di un modulo di pagamento appartenente a Banca Sella.
Fonte: https://www.cert-pa.it |
La vittima viene chiaramente invitata a compilare il form HTML con i dati della carta di credito con la quale effettuare il pagamento: i dati inseriti finiranno direttamente nelle mani dei cyber attaccanti.
La pagina in questione non ha, ovviamente, alcun legame col sito della banca Sella: al contrario verifiche più approfondite hanno mostrato come il collegamento sia puntato verso sito spagnolo (hxxps://www.aserluz.org/md900043280 che a sua volta reindirizza l'utente sulla landing page appartenente al dominio americano aruda-acspaymn.com.
Una semplice verifica con urlscan.io conferma la natura dannosa della pagina.
La pagina in questione non ha, ovviamente, alcun legame col sito della banca Sella: al contrario verifiche più approfondite hanno mostrato come il collegamento sia puntato verso sito spagnolo (hxxps://www.aserluz.org/md900043280 che a sua volta reindirizza l'utente sulla landing page appartenente al dominio americano aruda-acspaymn.com.
Una semplice verifica con urlscan.io conferma la natura dannosa della pagina.
Fonte: https://www.cert-pa.it |
Qualora doveste ricevere email di sollecito da aruba.it per il rinnovo di un qualsiasi account non cliccate su alcun link o allegato. Verificate la veridicità dell'informazione contattando direttamente Aruba, senza però utilizzare i dati di contatto presenti in email (sito web, email di contatto, eventuale numero di telefono) poichè potrebbero essere anch'essi contraffatti: basterà una veloce ricerca su un motore di ricerca per trovare i dati di contatto reali di Aruba.
In ultimo, verificate attentamente la pagina e l'indirizzo della stessa prima di inserire dati sensibili (come quelli personali o finanziari) in form online.
Nessun commento:
Posta un commento