Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

Nel mese di giugno 2026 il team di D3Lab ha rilevato almeno quattro campagne di smishing rivolte a utenti italiani che sfruttano il nome di APCOA Flow, il servizio digitale di gestione dei parcheggi del gruppo APCOA, con l’obiettivo di sottrarre dati di pagamento delle vittime.

Il messaggio fraudolento viene distribuito tramite SMS e informa il destinatario della presunta presenza di una violazione del Codice della Strada legata ad un parcheggio non pagato, invitandolo a regolarizzare rapidamente la posizione attraverso un link incluso nel messaggio.

Il testo del messaggio osservato recita:

“APCOA ti ha notificato una violazione del codice della strada relativa al parcheggio. Ti preghiamo di pagare la multa entro il 29 giugno.”

Il messaggio include un dominio non riconducibile ad APCOA e sfrutta il senso di urgenza tipico delle campagne di smishing, facendo leva sulla paura di ricevere sanzioni amministrative o ulteriori maggiorazioni economiche.

Continua a leggere

In D3Lab crediamo che ogni servizio, erogato da qualsiasi società, che richieda un login e renda plausibile la richiesta di dati personali e finanziari possa risultare di interesse per i criminali. Non solo furti di identità, abuso di carte di credito, ma anche abuso account compromessi su servizi di vendita dedicati ai privati, locazione e vendita case e alloggi, così come sistemazione vacanze.

In questo panorama anche i corrieri, i servizi di consegna merci, possono attrarre l’attenzione dei criminali. In questo articolo ci occuperemo dell’impennata di campagne di phishing registrate dal nostro team anti frode a danno di GLS Italia nell’arco degli ultimi mesi.

Continua a leggere

Nella giornata odierna, durante le consuete attività di monitoraggio e contrasto alle frodi online, il Threat Intelligence Team di D3Lab ha rilevato la prima campagna di phishing dell’anno a tema Commissariato di P.S. Online della Polizia Postale, strumentalizzato per orchestrare attacchi di SIM Swapping.

Il Commissariato di P.S. Online è lo sportello virtuale della Polizia Postale e delle Comunicazioni, l’articolazione specializzata della Polizia di Stato deputata alla prevenzione e al contrasto della criminalità informatica dedicato alla comunicazione da e verso il cittadino.

Proprio a causa del suo ruolo centrale come punto di riferimento istituzionale per la sicurezza in rete, gli aggressori hanno deciso di clonarne l’identità: sfruttare il nome di un ente preposto a combattere le truffe rappresenta per i criminali il modo più efficace per abbassare le difese psicologiche delle vittime.

Continua a leggere

In January 2026, we analyzed NFCShare, an Android banking trojan distributed as a malicious APK through a phishing flow impersonating Deutsche Bank. The malware presented a fake card-verification interface, asked the victim to place a payment card near the phone, collected the card PIN, and exfiltrated NFC-derived payment-card data to a WebSocket endpoint.

Since 14 May 2026, we have observed a newer wave of NFCShare APKs impersonating Italian and European banking brands. The campaign we investigated started from an ad hoc phishing website, areaclienti-intesa.com, which mimicked the look and feel of Intesa Sanpaolo. After the victim entered home-banking credentials, the phishing flow prompted the user to update the banking application. At that point, the website visually directed the victim to a shortened URL, such as https://tinyurl[.]com/Intesa-Carte, which then redirected toward APKs hosted in the GitHub repository antoniocastaldo1998/app-scuola.

The newer samples are still NFCShare. The core NFC and exfiltration logic remains largely unchanged. The relevant evolution is operational and anti-analysis oriented: more frequent APK rebuilds, brand rotation, a new C2 endpoint, a 10-DEX layout, and malformed ZIP paths designed to break naive APK extractors.

Continua a leggere

Il Threat Intelligence Team di D3Lab, grazie al servizio di Brand Monitor ha intercettato un pericoloso clone malevolo che punta a truffare i cittadini proponendosi come la Caritas Italiana. Nel panorama del cybercrime, si tratta di una delle tattiche più spregevoli: lo sciacallaggio digitale, ovvero lo sfruttamento della fiducia riposta in istituzioni caritatevoli per colpire le fasce più vulnerabili della popolazione.

La Caritas Italiana è l’organismo pastorale della Conferenza Episcopale Italiana (CEI) che promuove la testimonianza della carità, sostenendo e coordinando oltre 200 Caritas diocesane. Si dedica ad aiutare i poveri e gli emarginati, promuovere il volontariato, sensibilizzare la comunità sui bisogni sociali e intervenire in emergenze nazionali e internazionale.

Continua a leggere

I ricercatori di D3Lab hanno rilevato una nuova campagna di phishing che sfrutta il brand ChatGPT, servizio sviluppato da OpenAI, per sottrarre dati di carte di pagamento e codici di sicurezza agli utenti italiani.

Si tratta della prima campagna in lingua italiana osservata da D3Lab che utilizza questo pretesto, segnale di come i criminali stiano rapidamente adattando le proprie strategie all’evoluzione dei servizi digitali più diffusi.

Continua a leggere

Negli ultimi giorni i Threat Intelligence Team di D3Lab hanno rilevato diverse campagne di phishing che sfruttano illecitamente il brand EasyPark, nota applicazione per il pagamento e la gestione della sosta tramite smartphone, disponibile in oltre 20 Paesi.

Le campagne non colpiscono l’infrastruttura del servizio, ma utilizzano il marchio EasyPark per truffare gli utenti, inducendoli a fornire dati di pagamento e informazioni personali sensibili.

Continua a leggere

Negli ultimi mesi si sta diffondendo in Italia una campagna di phishing che sfrutta un meccanismo tanto semplice quanto efficace: la fiducia tra contatti WhatsApp. Il messaggio è apparentemente innocuo e chiede di votare per la figlia o la nipote di un amico impegnata in un concorso di danza. In realtà, l’obiettivo non è raccogliere voti, ma ottenere accesso completo all’account della vittima.

Il fenomeno è stato segnalato dalla Polizia di Stato e dal Commissariato di PS Online, con una diffusione nazionale documentata anche da diverse testate giornalistiche. Non si tratta di un episodio isolato, ma di una campagna strutturata che sfrutta dinamiche di propagazione virale basate sulla rete di relazioni personali.

Continua a leggere

In February 2026, the D3Lab Anti‑Fraud Team analyzed a phishing kit that embedded a JavaScript file named ss1.js. The script, branded SafeBrowsingBlocker, attempts to prevent Google Safe Browsing checks by blocking network requests to Google Safe Browsing domains and disabling browser prefetching/prerendering mechanisms.

Our technical analysis shows that this approach is largely ineffective against browser‑level Safe Browsing interstitials, which are decided before any page JavaScript executes. The script’s primary effect is limited to blocking page‑initiated requests (e.g., fetch, XHR, sendBeacon) and adding a restrictive CSP that can break legitimate resources.

This post details how the script works, why it cannot bypass Safe Browsing, and provides IoCs for detection.

Continua a leggere

Negli ultimi giorni il Cyber Threat Intelligence Team di D3Lab ha rilevato una forte ondata di phishing ai danni di Fineco Bank. I cyber – criminali stanno inviando un ingente numero di email scritte in un italiano corretto, utilizzando il logo e un tono formale, con l’obiettivo di rubare le credenziali di accesso ai conti correnti delle vittime.

Durante l’anno Fineco non è stata particolarmente presa di mira dai criminali, rimandando nella media degli scorsi 5 anni, durante i quali non si è erano mai superate le 5 campagne di phishing al mese. Questi attacchi erano solitamente isolati e distinguibili per l’uso di url di attacco sempre diversi.

Continua a leggere
D3Lab Srl unipersonale – P.IVA IT01865450496 – Italy – Phone: +3905861946434