PHISHING VIA EMAIL

Attenzione a “rifiuto di rinnovo”, è phishing contro Aruba

Si richiede di intervenire al fine di regolarizzare un mancato pagamento per il rinnovo di un servizio hosting. In realtà è una truffa di phishing che utilizza un dominio recentissimo con finti contenuti di Banca Sella

01 Lug 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Si presenta con un messaggio di posta elettronica nel quale si avverte di un mancato pagamento per il rinnovo di servizi Aruba. Una nuova campagna di spam via e-mail che si sta diffondendo tra gli utenti, impersonando un messaggio di rinnovo scaduto dell’hosting provider italiano Aruba. Attenzione, perché l’obiettivo è catturare informazioni personali ma soprattutto dati di carte di credito.

Rinnovare con 6,11 euro di spesa: il nuovo phishing Aruba

La campagna è attiva già da tempo, ma il contenuto che stiamo per descrivere è estremamente recente, ragione che fa pensare a come quest’operazione, di fatto, non sia mai terminata e si rinnova ogni volta con nuovi contenuti ed elementi. Lo scopo è portare a termine un finto pagamento online Banca Sella, con casuale di Rinnovo Dominio e Hosting.

WHITEPAPER
Nuovi attacchi informatici VS 3 nuovi modelli di sicurezza: scoprili!
Finanza/Assicurazioni
Sicurezza

In effetti l’email, come potete riconoscere anche dall’immagine qui sopra, appare esattamente come le comunicazioni legittime del noto provider di servizi Internet Aruba. Il mittente, compilato sugli header del messaggio, è ARUBA, l’oggetto è “RIFIUTO DI RINNOVO” seguito da un ipotetico numero d’ordine e nel massaggio si cerca di convincere l’utente a poter completare un pagamento che sarebbe non andato a buon fine. In realtà è tutto falso, il numero d’ordine non esiste e la mail non è inviata da Aruba ma, come si può vedere anche semplicemente esplodendo il contenuto dell’header ARUBA, è un indirizzo di terze parti, che nulla ha a che fare con i domini e le attività di Aruba.

Qualora la vittima risultasse realmente convinta di voler sistema il falso disguido che si richiama nel messaggio, andrebbe a cliccare sul ben visibile bottone “ACCEDETE AL VOSTRO MODULO DI PAGAMENTO”.

I dettagli del dominio utilizzato per il phishing

La novità di queste campagne è infatti proprio il dominio che di volta in volta viene adoperato per risultare credibili. Questa volta l’URL che CyberSecurity360 ha rilevato è “www[.]aruba-fatturapec.com” (opportunamente segnalato al registrar). Qualcosa di attinente al tema che si affronta nella truffa e molto vicino a ciò che un utente poco attento possa aspettarsi.

Si può facilmente verificare che questo dominio è stato creato il 30 giugno 2022 registrato su Namecheap Inc, presenta anche un certificato TLS valido creato oggi e il DNS punta ad un hosting del contenuto in Marocco.

Queste sono campagne che evolvono da un giorno all’altro, come vediamo nel giro di due giorni si crea il dominio (credibile), si pubblica il contenuto e si diffonde anche la mail di spam. Una catena di montaggio studiata per ottenere quante più informazioni, sfruttando la somiglianza ai legittimi mezzi di pagamento online utilizzati in Italia. Dall’immagine qua sopra potete notare come si presenta graficamente la pagina di phishing.

Vengono richiesti tutti i dati utili ad eseguire un pagamento con carta di credito, convincendoci del fatto che servirebbe per risolvere il mancato rinnovo del servizio Aruba, ma questi dati verranno prontamente utilizzati per canalizzare altri pagamenti sulla nostra carta di credito, a beneficio degli attori malevoli che hanno lanciato tale campagna.

Alcuni consigli per affrontare truffe come questa

Come si può fare se non si conosce con esattezza il dominio legittimo? Questo caso si somiglia davvero tanto a un sito Aruba realmente esistente, come faccio a distinguerlo?

Queste domande sicuramente sono le più frequenti, che gli utenti si pongono nell’apprendere di tentativi di truffa così subdoli. La risposta che ci sentiamo di offrire è quella di fare un passo indietro. Il consiglio infatti parte dalla ricezione di una email di questo tipo: dobbiamo adottare la tecnica del non fidarsi di nessuno. Sostanzialmente un buon approccio a questo genere di messaggi (ed in generale quando vengono richieste informazioni personali o transazioni economiche), è quello di non dare seguito a quanto viene descritto nella email, con la procedura che viene proposta ma, ignorare il messaggio e verificare manualmente accedendo con le consuete proprie modalità all’interno della nostra area riservata, la presenza o meno di un tale ordine o di una tale comunicazione.

In questa maniera non entreremo nemmeno in contatto di questo falso dominio che quindi non innescherà alcun dubbio. Un altro controllo invece sarebbe necessario a livello di verifica del mittente che ci invia la comunicazione. Possiamo fidarci effettivamente solo se conosciamo chi ci scrive, ma se non identifichiamo correttamente il mittente, non avremo contezza della liceità del messaggio.

Leggere il nome “ARUBA” come indicato su questa email, senza verificare che indirizzo email effettivamente si cela dietro questo nome, non basta. Abbiamo dunque bisogno, se decidessimo di voler verificare la bontà della mail, di arrivare a leggere l’indirizzo email del mittente e non solo il nome, che può essere facilmente personalizzabile. In questo caso l’indirizzo email del mittente è un primo grande campanello d’allarme perché non presente alcune sembianze rispetto a ciò che può essere una rete di indirizzi interni al fornitore di servizi Aruba.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5