Da alcuni giorni stiamo assistendo a una ondata di attacchi phishing che ha come strumento una falsa mail Aruba inviata gli utenti della società che offre servizi di web hosting, e-mail e registrazione di nomi di domini. Il classico episodio di phishing, ma con qualche variante sofisticata, come può testimoniare chi scrive.
In qualche modo, infatti, i cybercriminali sembrano verificare domini o altri servizi in scadenza (più o meno “pubblici”) offerti da Aruba e inviano agli utenti una email che chiede di effettuare ad esempio il rinnovo del sito in scadenza, oppure per segnalare un problema di carta di credito. Nella mail che abbiamo visto, appare come mittente “Aruba.it” e altre indicazioni relative ad un dominio e una casella di mail effettivamente appartenenti al destinatario.
Contrariamente ai messaggi di phishing che venivano inviati in passato, quelli attuali sono scritti in perfetto italiano, l’email del mittente appare affidabile (sembra provenire effettivamente da Aruba) e all’interno della mail sono riportati dati sul dominio o altro servizio che l’utente ha effettivamente comprato da questa azienda.
Chi riceve la mail, se non presta attenzione, rischia di cliccare sul link e arrivare su un portale che imita perfettamente la grafica di Aruba e invita gli utenti a lasciare i dati di carta di credito e l’eventuale SMS con il codice di sicurezza. Il risultato sarà un furto di dati che saranno poi usati per rubare soldi dal conto.
Analizzare l’email di phishing
Abbiamo contattato Aruba chiedendo lumi sulla mail in questione e l’azienda ha confermato che si tratta di un tentativo di phishing invitando semplicemente a non tener di conto di quella mail in quanto non proveniente da loro. È stato pubblicato un annuncio specifico sul loro portale portale di assistenza. Cosa suggerisce Aruba? “Nel caso questo tipo di mail fossero in un numero considerevole tali da arrecare fastidio, potrebbe inserire all’interno della nostra webmail aruba sulla sua casella una regola (OPZIONI –> Regole messaggi) dove specificare che tutti i messaggi con quel determinato oggetto vengano direttamente cancellati o eventualmente respinti al mittente”.
Ma come analizzare una mail apparentemente legittima e capire che si tratta di una truffa?
Se usate il programma Mail, provate a fare click sull’indirizzo del mittente. Nel nostro caso appare come mittente “Aruba.it” ma, cliccando con il tasto destro del mouse (o cimbinazione equivalente con il trackpad), appare uno strano indirizzo del mittente: “[email protected]” che ovviamente nulla ha a che fare con l’azienda coinvolta.
Altri indizi si possono derivare dal menu “Vista” la voce “Messaggio” e da qui “”Formato sorgente (opzione che consente di visualizzare intestazioni, HTML e altri dettagli del messaggio ricevuto) Nel finto sito che emula quello di Aruba (ora chiuso) abbiamo scovato la presenza di un file Javascript denominato jquery.min-1.2.8.js, riferimento ad una libreria usata da vari siti web ma caricato da un sito estraneo ad aruba.it.
Aprendo il file l file jquery.min-1.2.8.js con un editor di testo, si scopre che non abbiamo a che fare con la libreria jquery ma altro contenuto nascosto con tecniche che consentono di offuscare il codice con una codifica Base64. Decifrando il codice si arriva al modulo dove sono presenti i campi per indicare i dati personali, inviati ad un server PHP (anche questo esterno ad Aruba) su un dominio attaccato in qualche modo, utilizzato per raccogliere i dati personali degli utenti vittime dell’attacco.
Per farla breve, anche un utente esperto verrebbe ingannato, rischiando di consegnare nelle mani di sconosciuti le credenziali dei propri domini, siti web, database, servizi cloud registrati con lo stesso account, server dedicati, PEC, SPID, rinnovi, fatture e altro ancora.
A questo indirizzo scopriamo che più volte Aruba ha pubblicato segnalazioni in merito alla ricezione di email di Phishing in cui si invitano gli utenti ad aggiornare le proprie informazioni cliccando sul link indicato.
“Il collegamento” spiega l’azienda “reindirizza in modo fraudolento all’Area Clienti Aruba, sostituendo alla pagina di autenticazione un’interfaccia da cui aggiornare i propri dati”. Gli utenti sono invitati a: non rispondere all’email, non eseguire in generale le operazioni indicate, non aprire i file allegati, non aprire i link indicati.
Cosa fare in caso di furto dei dati della carta di credito
Se siete caduti vittime del phishing e qualcuno è riiuscito a sottrarre delle somme, sarà bene prima di tutto bloccare la carta di credito. A questo punto bisogna stampare la lista dei movimenti dove si evincono i prelevi non riconosciuti, sporgere denuncia e querela mettendo a verbale quanto accaduto, fornendo copia delle stampe con relative operazioni disconosciute.
Banche e Uffici Postali (nel caso di prodotti tipo PostePay) dispongono di moduli specifici per il disconoscimento delle operazioni di pagamento. Bisogna riportare in ogni rigo le somme sottratte indebitamente, disconoscendo tali operazioni, allegare copia della denuncia, copia delle movimentazioni e inviarli agli uffici di revisione dei reclami tramite raccomandata AR. Gli enti hanno a disposizione circa 60 giorni per rispondere. Trascorso questo tempo è eventualmente possibile passare all’Arbitro Bancario Finanziario (sul loro sito trovate i moduli da compilare e tutte le informazioni necessarie per procedere al ricorso).
Consigli generali per proteggersi dal phishing
- Verificate sempre con attenzione i link da aprire e ragionate con attenzione prima di indicare a chicchesia numeri di carta di credito o altri dati personali.
- Digitate nomeutente, password o dati relativi a carte di credito solo se state utilizzando una connessione sicura. Se l’URL del sito web è preceduta da “https”, potete stare relativamente tranquilli. Se non c’è la “s” (che significa “sicuro”), allora attenzione: c’è qualcosa di anomalo.
- Fate attenzione anche alle mail provenienti da amici o aziende che conoscete bene: anche i loro account potrebbero essere stati hackerati o essere caduti nella trappola del phishing.
- Stesso discorso per mail ricevute da banche, agenzia dell’entrare, negozi online, agenzie di viaggi, compagnie aeree ecc. Attenzione anche alle mail provenienti dal vostro stesso ufficio o azienda per la quale lavorate. Non è poi complicato creare una mail falsa simile in tutto e per tutto a una ufficiale;
- Per essere sicuri, meglio non cliccare sui link ricevuti via mail; si può aprire una nuova finestra del browser, verificare e digitare manualmente l’URL desiderato. In questo modo non perderete comunque l’offerta o i il servizio proposto e soprattutto non sarete vittima dei cybercriminali.
- Se possibile, non collegatevi a siti di home banking e simili utilizzando le reti Wi-Fi disponibili in luoghi pubblici come bar o per strada. Meglio sfruttare la rete mobile o di tornare a casa piuttosto che perdere il denaro della carta di credito. Le reti pubbliche, infatti, potrebbero essere state create dai cybercriminali per portare gli utenti alle loro pagine fraudolente.