Negli ultimi giorni il Cyber Threat Intelligence Team di D3Lab ha rilevato una forte ondata di phishing ai danni di Fineco Bank. I cyber – criminali stanno inviando un ingente numero di email scritte in un italiano corretto, utilizzando il logo e un tono formale, con l’obiettivo di rubare le credenziali di accesso ai conti correnti delle vittime.
Durante l’anno Fineco non è stata particolarmente presa di mira dai criminali, rimandando nella media degli scorsi 5 anni, durante i quali non si è erano mai superate le 5 campagne di phishing al mese. Questi attacchi erano solitamente isolati e distinguibili per l’uso di url di attacco sempre diversi.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2025/12/Screenshot-2025-12-23-alle-11.33.51-2.png?fit=1336%2C1032&ssl=110321336Francesco D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngFrancesco D3Lab2025-12-24 11:10:512025-12-29 12:03:23Attenzione al nuovo portale fake di Fineco: la trappola scatta dopo il Captcha
During a recent investigation, we obtained access to a multi-package archive containing the complete development toolkit behind the Android malware known as BTMOB RAT. The archive includes the Android payload source code, its dropper, a builder environment, the operator panel for Windows, the command-and-control backend, and all the software dependencies required to deploy the full platform.
Every component is stored inside password-protected ZIP files. While ZIP file headers remain readable without a password, allowing us to inspect the file tree, their binary contents cannot be extracted. We intentionally chose not to acquire or circumvent the passwords, avoiding any action that may financially support or operationally benefit a criminal actor.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2025/12/BTMob_Inside.png?fit=800%2C800&ssl=1800800Andrea Draghettihttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea Draghetti2025-12-11 15:18:102025-12-11 16:05:26Inside BTMOB: An Analytical Breakdown of a Leaked Android RAT Ecosystem
Venerdì 21 novembre il team anti-frode D3Lab ha identificato la prima campagna di phishing in lingua italiana rivolta agli utenti Klarna. L’attacco viene veicolato tramite e-mail e riproduce una comunicazione che informa la vittima della sospensione di alcune funzionalità dell’account a causa di un presunto pagamento non più valido. Il messaggio invita l’utente a verificare la propria identità attraverso un accesso immediato al profilo.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2025/11/Klarna_Phishing_Mail.png?fit=1015%2C837&ssl=18371015Andrea Draghettihttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea Draghetti2025-11-24 10:01:262025-11-24 10:01:27Prima campagna di phishing ai danni di Klarna rilevata in Italia
A distanza di pochi giorni dalla precedente campagna che imitava comunicazioni di Poste Italiane e invitava gli utenti a contattare il numero 0686356057, i criminali tornano a colpire sfruttando esattamente lo stesso recapito telefonico. Cambia però il pretesto: questa volta l’email finge di provenire da Google e segnala una sospetta “nuova registrazione del dispositivo” sull’account Gmail della vittima.
Il contenuto dell’email
Il messaggio, costruito con uno stile che richiama i report tecnici generati automaticamente da sistemi CRM, include una serie di dati apparentemente plausibili come il modello del dispositivo, la versione di iOS, l’IMEI e la geolocalizzazione dell’indirizzo IP. Gli attori della minaccia sfruttano queste informazioni per generare un senso di urgenza e convincere l’utente a contattare immediatamente il numero indicato. È lo stesso impianto psicologico osservato nella precedente campagna: nessun link malevolo, nessun allegato, soltanto un invito a telefonare a un numero gestito dal gruppo criminale.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2025/11/Phishing_Email_Google_Contatto_Telefonico.png?fit=1006%2C1133&ssl=111331006Andrea Draghettihttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea Draghetti2025-11-21 09:11:582025-11-21 09:12:23La campagna di vishing continua: dal clone Poste alla finta email Google
Negli ultimi giorni il Cyber Threat Intelligece Team di D3Lab ha rilevato una nuova campagna di phishing rivolta agli utenti di Poste Italiane che si distingue per una caratteristica insolita: l’assenza totale di link all’interno dell’email. Il messaggio invita invece il destinatario a contattare un numero telefonico italiano per verificare la propria identità, una tecnica che unisce elementi tipici del phishing e del vishing e rende la frode particolarmente difficile da intercettare dai sistemi automatici di protezione.
Il contenuto dell’email
L’email si presenta come un avviso di sicurezza e riporta un presunto tentativo di accesso anomalo da un indirizzo IP estero, indicato come proveniente da Hong Kong. Per rassicurare il destinatario e convincerlo ad agire con urgenza, il messaggio sostiene che alcune funzionalità dell’account siano state temporaneamente limitate a scopo precauzionale. Viene quindi richiesto di chiamare il numero 06 8635 6057 per confermare la propria identità e ripristinare l’accesso.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2025/11/Email_Phishing_Poste_Con_Numero_di_Telefono.png?fit=1087%2C966&ssl=19661087Andrea Draghettihttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea Draghetti2025-11-19 17:45:582025-11-19 17:46:00Nuova frode ai danni di Poste Italiane: email senza link, solo un numero da contattare!
Negli ultimi giorni il team di Cyber Threat Intelligence di D3Lab ha intercettato una campagna di phishing ai danni di Facebook Business che si distingue per una caratteristica particolarmente insidiosa: l’utilizzo dell’infrastruttura di Salesforce, uno dei principali CRM a livello mondiale, come canale di invio delle email fraudolente.
L’email analizzata arriva da un indirizzo del tutto legittimo, [email protected], e supera i controlli SPF senza problemi. Non siamo quindi davanti a un classico caso di spoofing, bensì a un abuso consapevole delle funzionalità offerte dalla piattaforma. I criminali, infatti, registrano un account su Salesforce approfittando della demo gratuita e sfruttano questo accesso per inviare messaggi fraudolenti che appaiono tecnicamente autentici e quindi difficili da bloccare con i filtri antispam tradizionali.
Il testo della comunicazione simula una notifica legale proveniente da Sony Music Italy tramite lo studio Legance – Avvocati Associati, sostenendo che i contenuti musicali protetti da copyright sarebbero stati condivisi senza autorizzazione sulle pagine Facebook del destinatario. Per aumentare la pressione psicologica viene fornito un numero di caso fittizio e si prospettano possibili conseguenze legali. All’interno del messaggio è presente un link che sembra appartenere a business.facebook.com, ma che in realtà reindirizza verso un dominio esterno creato Ad-Hoc dai criminali (metahelp-support[.]com).
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2025/09/Phishing_SalesForce_Facebook_Mail.png?fit=1177%2C764&ssl=17641177Andrea Draghettihttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea Draghetti2025-09-25 10:17:372025-09-25 10:18:37Phishing contro Facebook veicolato da Salesforce: quando i criminali sfruttano i CRM legittimi
Il team di Cyber Threat Intelligence di D3Lab ha rilevato una nuova e insidiosa campagna di phishing via SMS (smishing) che sfrutta il nome dell’Agenzia delle Entrate per indurre gli utenti a fornire dati personali e, soprattutto, le credenziali di accesso ai propri wallet di criptovalute.
Il messaggio SMS fraudolento
Gli utenti ricevono un SMS con il seguente testo:
“Abbiamo rilevato valute virtuali a Lei riconducibili. La normativa vigente ne impone la dichiarazione entro il 30/09/2025 agenziaentrate-dichiarazione[.]com”
Il link contenuto nel messaggio rimanda a un dominio recentemente registrato (agenziaentrate-dichiarazione[.]com), non riconducibile all’Agenzia delle Entrate, ma gestito da attori criminali.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2025/09/Phishing_Agenza_Entrate_3_crop.png?fit=1213%2C719&ssl=17191213Andrea Draghettihttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea Draghetti2025-09-12 11:29:462025-09-12 11:33:11Campagna di smishing ai danni dell’Agenzia delle Entrate: finta dichiarazione fiscale sulle criptovalute
In questi primi mesi del 2025 il team di Threat Intelligence di D3Lab ha osservato un aumento preoccupante delle campagne di phishing rivolte agli utenti italiani di Binance, la nota piattaforma internazionale per lo scambio di criptovalute. Questo fenomeno non solo si distingue per l’alto volume di attacchi, ma anche per il grado di sofisticazione raggiunto: SMS, email, telefonate e ora anche Telegram vengono sfruttati per colpire le vittime in maniera mirata. In questo articolo analizziamo tecnicamente una delle campagne più attive di quest’anno, con l’obiettivo di informare e proteggere gli utenti.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2025/05/Binance_Phishing_01.png?fit=1334%2C1014&ssl=110141334Andrea Draghettihttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea Draghetti2025-05-06 17:09:472025-05-06 17:09:49Cresce il Phishing ai danni di Binance: analisi di una campagna ben congegnata
Dalla seconda metà di febbraio 2025, è stata osservata in Italia una nuova campagna fraudolenta che sfrutta applicazioni Android apparentemente legittime per sottrarre i dati delle carte bancarie tramite tecnologia NFC. Queste app, denominate “SuperCard X”, “KingCard”, o “Verifica Carta”, non sono malware che comprometto il device in senso tradizionale, ma strumenti sofisticati che consentono ai criminali di emulare carte di credito o debito e disporre illeciti pagamenti contactless a distanza, sfruttando dispositivi controllati da remoto.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2025/04/SuperCardX_Copertina.png?fit=1536%2C1024&ssl=110241536Andrea Draghettihttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea Draghetti2025-04-22 10:06:332025-04-22 10:12:24SuperCard X: la nuova truffa che colpisce gli utenti italiani
Un altro anno volge al termine e, come di consueto, il nucleo anti frode del D3Lab si appresta a fare un bilancio per esaminare l’andamento del phishing (e non solo) nel contesto italiano e le sue evoluzioni.
Iniziamo a smontare alcuni luoghi comuni, come ad esempio:
“Io non ci cascherò mai”
“Solo le persone anziane o quelle che non sono esperte di tecnologia vengono ingannate.”
“Solo gli stupidi ci cascano (io sono più furbo).”
Nella nostra esperienza quotidiana in D3Lab, abbiamo avuto modo di analizzare a fondo queste affermazioni e possiamo dire con certezza che non corrispondono alla realtà. Ne sono prova il numero sempre crescente di vittime che tale fenomeno registra giornalmente, come evidenziato dai dati riportati di seguito, relativi a carte di credito, username utilizzati per l’accesso all’home banking e indirizzi email sottratti dai criminali.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2024/12/Screenshot-2024-12-19-alle-11.18.48.png?fit=1020%2C764&ssl=17641020Francesco D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngFrancesco D3Lab2024-12-19 11:20:312024-12-20 15:40:49Un anno di Phishing. L’evoluzione delle Truffe Online in Italia nel 2024
Potremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Cookie essenziali del sito Web
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per fornire il sito web, rifiutarli avrà un impatto come il nostro sito funziona. È sempre possibile bloccare o eliminare i cookie cambiando le impostazioni del browser e bloccando forzatamente tutti i cookie di questo sito. Ma questo ti chiederà sempre di accettare/rifiutare i cookie quando rivisiti il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Altri servizi esterni
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
