Il team di Threat Intelligence di D3Lab ha individuato una campagna di phishing che prende di mira gli utenti di IP Gruppo API, la principale azienda privata italiana nel settore dei carburanti e dei servizi alla mobilità, con oltre 4.600 distributori in tutto il territorio nazionale.
L’attacco phishing inizia con l’invio di un’email fraudolenta, creata utilizzando un dominio fittizio gruppoapi[.]org. In questa comunicazione, agli utenti viene chiesto di verificare il proprio account a causa di un presunto aggiornamento delle politiche di sicurezza, necessario per continuare a utilizzare i servizi IP Plus, che includono l’acquisto di carburante, lubrificanti e AdBlue.
Cliccando sul link presente nell’email, le vittime vengono indirizzate a un sito clone, registrato con il dominio gruppoapi[.]net, che appare visivamente identico al portale ufficiale di IP Gruppo API (https://ipplusonline.gruppoapi.com/login/), dove viene richiesto di inserire le proprie credenziali, ossia nome utente e password. Tuttavia, la pagina fraudolenta presenta alcune differenze rispetto all’originale, come l’assenza del logo del Gruppo API nell’angolo in basso a destra e la mancanza di frecce accanto ai pulsanti “Accedi” e “Assistenza Cliente”.
Una volta inserite le credenziali, il criminale potrà accedere ai servizi, con la pagina clone che continuerà a richiedere ripetutamente l’inserimento dei propri dati, mostrando un messaggio di errore falso.
I dati WHOIS relativi ai domini in questione confermano che questi sono stati registrati di recente tramite Hostinger.com, il che rafforza i sospetti sulla loro legittimità.
D3Lab invita tutti gli utenti a prestare la massima attenzione, evitando di cliccare su link sospetti ricevuti tramite email o SMS e a non condividere mai informazioni sensibili come username, password, indirizzi email, telefono, etc.).
https://www.d3lab.net/campagna-di-phishing-ai-danni-di-ip-gruppo-api/
