È in corso un trio di campagne di phishing che stanno falsificando il servizio di consegna DHL allo scopo di raccogliere credenziali di accesso e frodare i clienti internazionali rubando i dati della loro carta di credito.
La scoperta è stata fatta dagli esperti di Bitdefender Antispam Lab. La maggior parte delle e-mail sfrutta il logo e il design grafico DHL, facendo apparire che la compagnia di spedizioni abbia inviato la corrispondenza.
La versione inglese dell’e-mail di phishing imita un normale messaggio DHL e invita il destinatario ignaro a scaricare un allegato per visualizzare e stampare una ricevuta per un pacco in arrivo. L’allegato HTML indirizza a una pagina Web falsa che chiede agli utenti di inserire la propria password e-mail.
In questo caso particolare, gli aggressori stanno effettuando il phishing per ottenere le password e-mail delle vittime.
La versione tedesca avverte le vittime che il loro pacco non può essere consegnato a causa di una tassa doganale non pagata di 2,99 euro. Il 95% delle e-mail proviene dal Giappone e si rivolge a utenti in Svizzera, Stati Uniti, Regno Unito e Germania.
L’e-mail chiede ai destinatari di cliccare su un collegamento per confermare la spedizione del pacco. Una volta cliccato sul link, una falsa pagina di tracciamento DHL richiede ai clienti di pagare le spese di spedizione inserendo il proprio nome, numero di carta di credito, data di scadenza e CVV. La valuta del pagamento cambia a seconda dell’IP della vittima.
In questa versione, i truffatori utilizzano maggiormente trucchi di ingegneria sociale per indurre le vittime a fare clic sui collegamenti e a fornire informazioni sensibili, come i dati della carta di credito. Forniscono quindi ulteriori informazioni e indicazioni per i destinatari. Gli utenti vengono infatti avvisati che riceveranno anche un SMS o un’e-mail una volta ricevuto il pacco, l’intervallo di tempo in cui possono ritirare il pacco e un link per tracciare la spedizione.
In Italia, la campagna di phishing cerca di indurre gli utenti a credere che un pacco DHL non possa essere consegnato a causa di dettagli incompleti. Gli aggressori hanno utilizzato un indirizzo IP del Bangladesh per distribuire corrispondenza fraudolenta e la pagina di phishing risulta non più in uso.
I ricercatori hanno individuato che gli attacchi provengono da indirizzi IP in Portogallo (95%) e Brasile (4,6%) e si sono diffusi negli Stati Uniti, in Europa e in Asia. In particolare, il 53% delle e-mail fraudolente ha raggiunto utenti negli Stati Uniti, il 15% in Corea del Sud, il 9% nel Regno Unito, il 5% in Giappone, il 3% in India, il 2% in Germania e l’1% in Francia, Svizzera e Olanda.
I ricercatori consigliano ai clienti che ricevono e-mail sospette di segnalare l’e-mail di truffa tramite il sito dedicato di DHL, nonché di non tentare di rispondere al mittente, accedere agli allegati o fare clic su alcun collegamento. Inoltre, sottolineano che la corrispondenza ufficiale dell’azienda verrà sempre inviata da indirizzi e-mail utilizzando @dhl.com, @dpdhl.com, @dhl.de, @dhl.it o un altro dominio nazionale dopo @dhl.