{"id":4954,"date":"2014-10-10T17:44:35","date_gmt":"2014-10-10T17:44:35","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=4954"},"modified":"2022-05-05T12:26:53","modified_gmt":"2022-05-05T10:26:53","slug":"attacchi-di-phishing-nei-confronti-dei-clienti-di-poste-italiane","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/attacchi-di-phishing-nei-confronti-dei-clienti-di-poste-italiane\/4954\/","title":{"rendered":"Attacchi di phishing nei confronti dei clienti di Poste Italiane"},"content":{"rendered":"<p>Nel corso degli ultimi mesi, all\u2019interno del traffico e-mail, sono state da noi individuate alcune campagne di phishing appositamente allestite dai truffatori della rete nel tentativo di carpire login e password relativi agli account personali dei clienti del servizio postale italiano \u201cPoste Italiane\u201d e, al tempo stesso, di impadronirsi dei dati bancari personali degli stessi utenti, visto che la suddetta societ\u00e0 offre alla propria clientela servizi di natura finanziaria nell\u2019ambito del noto sistema di pagamento Postepay. Nella circostanza, i phisher hanno indirizzato I messaggi e-mail fraudolenti verso gli indirizzi di posta elettronica degli utenti italiani; per cercare di raggiungere i loro obiettivi i malintenzionati hanno fatto ricorso ai tradizionali metodi e trucchi abitualmente messi in campo. Tra luglio e settembre il numero dei rilevamenti[1] ha superato i 45 mila.<\/p>\n<p>Ad esempio, sono stati recapitati messaggi di posta mascherati sotto forma di notifiche ufficiali riguardanti l\u2019avvenuto blocco o la disattivazione temporanea dell\u2019account dell\u2019utente; nell\u2019occasione, i phisher si sono avvalsi di indirizzi e-mail fasulli. In effetti, in qualit\u00e0 di nome di dominio del server di posta elettronica, i malfattori hanno utilizzato un dominio che riproducesse esattamente la denominazione ufficiale del servizio postale italiano; in realt\u00e0, il dominio indicato nel campo riservato al mittente non ha proprio nulla a che vedere con il nome di dominio di cui effettivamente si avvalgono le Poste Italiane. Nel messaggio di\u00a0phishing qui esaminato si richiedeva poi al potenziale utente-vittima di inserire all\u2019interno dell\u2019apposito modulo HTML allegato all\u2019e-mail, login e password relativi al proprio account personale. Nella circostanza, i malintenzionati promettevano che, una volta compilati i campi richiesti, l\u2019account sarebbe stato automaticamente riattivato nel giro di pochi minuti, senza bisogno di alcuna ulteriore azione da parte del destinatario dell\u2019e-mail.<\/p>\n<p>\u00a0<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/10\/06000712\/pt1-1024x470.png\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-4955 alignleft\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/10\/06000712\/pt1-1024x470.png\" alt=\"pt1\" width=\"612\" height=\"281\"><\/a> <a href=\"https:\/\/kasperskydaily.com\/italy\/files\/2014\/10\/pt2.png\"><br>\n<\/a> <a href=\"https:\/\/kasperskydaily.com\/italy\/files\/2014\/10\/pt3.png\"><br>\n<\/a> <a href=\"https:\/\/kasperskydaily.com\/italy\/files\/2014\/10\/pt4.png\"><br>\n<\/a><\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>Nei messaggi di posta distribuiti nell\u2019ambito di un ulteriore mailing di massa, il link che conduceva i malcapitati verso la pagina web di phishing allestita dai criminali era stato direttamente inserito nel corpo dell\u2019e-mail e collegato ad una frase di testo.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/10\/06000711\/pt2.png\"><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-4956 alignleft\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/10\/06000711\/pt2.png\" alt=\"pt2\" width=\"571\" height=\"269\"><\/a><\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>Nell\u2019occasione, gli autori del messaggio non hanno cercato di spaventare l\u2019utente comunicando l\u2019avvenuto blocco dell\u2019account posseduto da quest\u2019ultimo, oppure notificando l\u2019applicazione di specifiche limitazioni relativamente all\u2019accesso a determinati servizi online; i phisher hanno piuttosto deciso di stimolare l\u2019attenzione e l\u2019interesse del destinatario del messaggio camuffando il messaggio \u00a0sotto forma di notifica ufficiale inerente alla ricezione di un nuovo telegramma. Inoltre, come evidenzia lo screenshot esemplificativo qui sopra riportato, per conferire una veste di maggiore veridicit\u00e0 ed autenticit\u00e0 all\u2019e-mail, all\u2019interno del messaggio (non certo impeccabile dal punto di vista ortografico e grammaticale\u2026) veniva ugualmente indicato il numero stesso del \u201ctelegramma\u201d. La relativa pagina web di phishing, poi, sulla quale sarebbe giunto l\u2019utente cliccando sul link presente nel corpo del messaggio di posta elettronica, era stata abilmente mascherata sotto forma di pagina di accesso all\u2019account personale.<\/p>\n<p>\u00a0<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/10\/06000709\/pt3.png\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-4957 alignleft\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/10\/06000709\/pt3.png\" alt=\"pt3\" width=\"564\" height=\"291\"><\/a><\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>E\u2019 di particolare interesse rilevare, tuttavia, come la pagina web qui sopra riportata, preposta all\u2019accesso ai servizi online da parte dell\u2019utente, venisse di fatto utilizzata nel sito di Poste Italiane nell\u2019anno 2010; come evidenzia il secondo screenshot qui sotto inserito, tale pagina web presenta, attualmente, un aspetto un po\u2019 diverso.<\/p>\n<p>\u00a0<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/10\/06000708\/pt4.png\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-4958 alignleft\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/10\/06000708\/pt4.png\" alt=\"pt4\" width=\"580\" height=\"382\"><\/a><\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>Ad ogni caso, visto che il testo principale \u00e8 rimasto sostanzialmente identico, e le modifiche apportate emergono soltanto mettendo a confronto le due pagine, i phisher hanno di sicuro pensato di poter confidare sul fatto che gli utenti avrebbero difficilmente avuto sospetti o dubbi riguardo all\u2019autenticit\u00e0 della pagina web in questione.<\/p>\n<p>Per elaborare le e-mail contraffatte oggetto della nostra analisi, i malintenzionati hanno utilizzato, oltre al testo in italiano, anche immagini ed elementi grafici; tradizionalmente, come \u00e8 noto, si avvalgono di tale metodo principalmente gli spammer, nell\u2019ambito dei mailing di massa pubblicitari da essi allestiti. Nella circostanza, il link di phishing \u00e8 stato direttamente collegato all\u2019immagine presente nel corpo del messaggio di posta elettronica. Attraverso il testo inserito nell\u2019e-mail viene comunicata, all\u2019utente, l\u2019introduzione obbligatoria di un nuovo sistema di sicurezza web. Per continuare ad usufruire dei servizi offerti da Poste Italiane, a detta degli autori dell\u2019e-mail, l\u2019utente dovr\u00e0 necessariamente provvedere ad attivare il \u201csistema web \u0420\u0585stap\u0430y\u201d, abilitando la propria carta di pagamento (\u0420\u0585ste\u0420\u0430y) nell\u2019ambito del nuovo sistema introdotto; l\u2019operazione di verifica potr\u00e0 essere agevolmente avviata cliccando sull\u2019apposito link inserito nel messaggio. Nell\u2019occasione, poich\u00e9 il link fasullo, come abbiamo visto, risultava collegato all\u2019immagine presente nell\u2019e-mail, esso si sarebbe aperto nel caso in cui l\u2019utente avesse cliccato su di un qualsiasi punto dell\u2019immagine stessa. Nella relativa pagina web di phishing, poi, si richiedeva l\u2019inserimento di tutte le informazioni sensibili riguardanti la carta di pagamento; ci\u00f2 avrebbe ovviamente permesso, ai malintenzionati di turno, di ottenere l\u2019accesso immediato ai dati finanziari dell\u2019utente-vittima.<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>Attualmente, la \u201cgeografia\u201d dei messaggi di posta elettronica fraudolenti risulta in continua espansione; nel traffico di spam globale, ad esempio, aumenta sempre di pi\u00f9 il volume delle e-mail di phishing elaborate in varie lingue: di fatto, in numerosi paesi, i malintenzionati conducono gi\u00e0 attacchi mirati preposti al furto dei dati personali degli utenti. Raccomandiamo pertanto, nuovamente, di non cliccare in alcun modo sui link sospetti presenti nei messaggi di posta ricevuti, cos\u00ec come di non inserire, in alcun caso, i propri dati sulle pagine web verso le quali conducono tali collegamenti ipertestuali. E\u2019 inoltre opportuno tenere ben presente il fatto che i truffatori della Rete possono distribuire nelle caselle di posta elettronica degli utenti non solo e-mail inviate a nome di societ\u00e0 di primaria importanza, ma anche messaggi di posta apparentemente provenienti da societ\u00e0 ed organizzazioni non particolarmente note.<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>[1]Le statistiche che riguardano gli obiettivi degli attacchi di phishing si basano su rilevazioni della componente euristica del sistema \u201cAntiphishing\u201d. La componente euristica effettua una rilevazione nel momento in cui un utente si collega ad una pagina di phishing (accedendo tramite un link) e quando ancora non esiste nessuna informazione sulla pagina nel database di Kaspersky Lab (quindi \u00e8 una nuova pagina che non avevamo ancora registrato). L\u2019utente arriva a questa pagina seguendo un link che ha ricevuto tramite una email di phishing\u00a0o in un messaggio tramite un social network o tramite un programma dannoso. Una volta effettuato il rivelamento l\u2019utente vede un banner di avviso della possibile minaccia nel browser.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nel corso degli ultimi mesi, all\u2019interno del traffico e-mail, sono state da noi individuate alcune campagne di phishing appositamente allestite dai truffatori della rete nel tentativo di carpire login e<\/p>\n","protected":false},"author":2706,"featured_media":4959,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12],"tags":[232,879,834,666,116,1234,840],"class_list":{"0":"post-4954","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-attacchi-phishing","9":"tag-cybersecurity","10":"tag-email","11":"tag-email-sicure","12":"tag-phishing","13":"tag-poste-italiane","14":"tag-watering-hole"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/attacchi-di-phishing-nei-confronti-dei-clienti-di-poste-italiane\/4954\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/attacchi-phishing\/","name":"attacchi phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/4954","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=4954"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/4954\/revisions"}],"predecessor-version":[{"id":19159,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/4954\/revisions\/19159"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/4959"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=4954"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=4954"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=4954"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}