Articoli

Lo scorso Marzo vi parlammo di una crescente campagna di Phishing ai danni del portale webmail di Virgilio, trascorsi tre mesi dalla prima segnalazione confermiamo il trend e l’uso costante di dominii creati ad hoc per ingannare l’utente.

 

Il grafico precedente mostra le segnalazioni rilevate da settembre 2017 fino al 12 Giugno 2018, la linea di tendenza infine ci permette di confermare il trend in crescita.

L’attacco di Phishing ha esclusivamente il compito di carpire l’username e la password della webmail, dati importanti perché permettono ad un attaccante di:

  • Sfruttare l’account email della vittima per inviare spam, phishing e/o malware;
  • Leggere eventuali conversazioni confidenziali.

Quest’ultima possibilità non rappresenta un rischio solo per la privacy, ma anche per le finanze delle vittime! Poter individuare il personale della filiale di banca con il quale la vittima interloquisce permette ai criminali di scrivere loro da un indirizzo email noto, simulando la necessità di contante a causa di un imprevisto occorso durante un viaggio all’estero, oppure se la vittima ha una propria attività e la mailbox è usata per lo scambio di documenti lavorativi, potrebbe permettere ai criminali di individuare una fattura inviata ad un cliente che, editata con le coordinate bancarie di un conto corrente nella disponibilità dei truffatori, potrebbe causare il dirottamento del pagamento.

Virgilio Mail è la piattaforma di WebMail offerta gratuitamente da Italiaonline S.p.A. ampiamente sfruttata da diversi utenti Italiani, i primi attacchi di Phishing a loro danno li abbiamo rilevati nel 2017 come vi abbiamo mostrato lo scorso settembre. Nel primo trimestre del 2018 abbiamo rilevato un trend decisamente in crescita a conferma che Virgilio è un target apprezzato dai Phisher.

Dal 1 Gennaio 2018 ad oggi abbiamo rilevato 13 nuove segnalazioni di Phishing nove di esse sfruttano domini appositamente creati per ingannare l’utente, ovvero:

  • virgilio-387246834310[.]com
  • virgilio-387246834312[.]com
  • virgilio-387246834313[.]com
  • virgilio-387246834314[.]com
  • virgilio-387246834315[.]com
  • virgilio34985794[.]com
  • virgilio34985795[.]com
  • virgilio34985796[.]com
  • virgilio34985798[.]com

La rilevazione di queste segnalazioni di Phishing è stata possibile grazie all’attività di Brand Monitor che svolgiamo per monitorare la registrazioni di nuovi dominii eventualmente sfruttabili per attività illecite come il Phishing, la diffusione di Malware, lo spear phishing e le frodi attraverso vendita o acquisto di servizi e prodotti.

L’intento del Phisher nelle segnalazioni ad oggi rilevate è di carpire le credenziali della eMail dell’utente. Invitiamo pertanto gli utenti a fare massima attenzione e controllare il sito web che si visita.

Nel tardo pomeriggio del 5 Settembre abbiamo rilevato una nuova campagna di Phishing svolta a sfavore degli utenti di Virgilio eMail, Virgilio è un noto portale di Italiaonline che storicamente ha permesso a molti utenti Italiani di ottenere una casella di Posta Elettronica gratuitamente. Italiaonline detiene inoltre il Brand di Libero Mail, altro portale molto sfruttato.

L’attacco di Phishing diffuso tramite eMail avvisa l’utente che è in fase di rilascio una nuova versione di Virgilio.it ed invita l’utilizzatore ad effettuare un Upgrade affinché non vengano persi i dati e le eMail “sul proprio conto”.

Selezionando il link per l’Upgrade si viene riportati in un dominio creato Ad-hoc per effettuare la campagna di Phishing, il dominio è: my-virgilio[.]com.

La pagina di login presente nel dominio, che vedete nello screenshot di apertura, richiede all’utente la propria eMail e la propria password. Una volta digitate tali credenziali la vittima viene reindirizzata al legittimo portale di Virgilio eMail.

Il palese intento di questa campagna di Phishing è quello di raccogliere le credenziali delle vittime, credenziali che possono essere sfruttate per accedere a dati personali o  per effettuare ulteriori campagne di Phishing.

Il dominio in analisi presenta i seguente Whois:

Name: Grazia Martella
Address: PALERMO
City: PALERMO
State: PALERMO
ZIP Code: 02154
Email: [email protected]
Phone: +39.000000000

Come spesso accade per i domini creati Ad-hoc per campagne di Phishing i dati citati nel Whois sono casuali o riportano dati di precedenti vittime. Infatti in questo specifico caso il CAP di Palermo non è 02154 come citato ma bensì compreso tra 90121 e 90151.

Invitiamo come sempre gli utenti a prestare la massima attenzione e di non comunicare alcun dato personale