Campagna di phishing ai danni di clienti Aruba

16/10/2019

aruba phishing

Nella giornata odierna il CERT-PA ha avuto evidenza di una campagna di phishing volta a sottrarre credenziali di carte di credito degli utenti Aruba ed indirizzata verso caselle email di Pubbliche Amministrazioni e probabilmente anche verso società private. L’email si presenta scritta con un italiano corretto, come si evince dall’immagine seguente:

Dall’analisi dell’header della mail, l’IP di origine di questi messaggi risulta 128.199.34.187 (host host1plus.com), appartenente a DigitalOcean Cloud, un provider di servizi cloud localizzato in Olanda. Si tratta quindi di mail spoofing, una tecnica che permette la creazione di una mail con indirizzo del mittente contraffatto, utilizzata al fine di ingannare il destinatario circa l’origine del messaggio.

Provando a cliccare su uno dei due link presenti nel corpo del messaggio si viene reindirizzati ad una pagina di phishing con logo “Banca Sella” che invita l’utente a compilare il form HTML con i dati della carta di credito con cui effettuare il pagamento. Chiaramente la pagina WEB  non ha nulla a che vedere con il sito della banca, infatti il link punta a un sito spagnolo hxxps://www.aserluz.org/md900043280 che a sua volta dirotta l’utente sulla phishing landing page appartenente al dominio americano aruda-acspaymn.com.

Attualmente la pagina di phishing non risulta segnalata su PhishTank, nè dai sistemi di protezione dei vari browser come Google Safe Browsing e simili, mentre  la verifica su urlscan.io fornisce conferma della natura malevola della pagina:

Conclusione

Si consiglia di diffidare da mail che richiedono l’inserimento di dati riservati e soprattutto evitare di cliccare su link sospetti, i cui collegamenti potrebbero condurre a un sito contraffatto. Per eventuali ulteriori chiarimenti il CERT-PA consiglia la consultazione dei seguenti articoli: