Nuova campagna phishing del cybercrime in Italia con l’obiettivo di rubare le credenziali, simulando rimborsi da Enel Energia. Lo ha scoperto il ricercatore di cyber security dave.
Secondo gli esperti del CSIRT-Italia, i criminali – sfruttando tecniche di spoofing – hanno nascosto il vero mittente: dall’analisi dell’header, infatti, il mittente risulta essere l’IP 193.176.184[.]230, il quale ospita client e server mail (Postfix), utilizzati per l’invio massivo di messaggi.
Il contenuto della posta elettronica, che riprende alcuni elementi grafici riconducibili all’operatore, invita la vittima a seguire un link al fine di ottenere un rimborso a seguito del pagamento ripetuto di una bolletta.
Il contenuto della mail, che riprende alcuni elementi grafici riconducibili all’operatore, invita la vittima a seguire un link per ottenere indietro il doppio pagamento di una bolletta. In realtà il link, che sembra rimandare al sito web legittimo, punta al servizio di URL shortner di Twitter (t[.]co) che reindirizza al dominio pauloluso.com[.]br.
Esso, a sua volta, sembrerebbe essere stato utilizzato per reindirizzare ai domini effettivi utilizzati dalla nuova campagna: ni4377884-1.web13.nitrado[.]hosting e ni4377260-1.web17.nitrado[.]hosting.
Da analisi su fonti aperte, questi ultimi avrebbero ospitato le pagine di phishing della campagna, ora non più disponibili ma facilmente rimpiazzabili, come già verosimilmente accaduto in passato.
Nello specifico, il link ha il seguente formato: https://t[.]co/rvcQI3CrQQ?amp=1?ID=0c50542aa23e095f4b5e1a39b42ac26c=DHJ5
L’Obiettivo è chiaramente il furto dei dati (informazioni personali, credenziali, di pagamento, ecc.).
Enel ha dichiarato:
Né il Gruppo Enel, né società incaricate hanno inviato mail che informano il cliente di un credito da riscuotere per la sua fornitura e che invitano a collegarsi al link presente nella mail. Le procedure aziendali non prevedono in alcun caso la richiesta di fornire o verificare dati bancari e/o codici personali attraverso link esterni.
Enel ha già informato le Autorità competenti e richiesto la chiusura dei siti malevoli. L’Azienda invita chiunque riceva una e-mail sospetta a:
- non cliccare i link presenti all’interno dei testi;
- non scaricare e aprire allegati;
- attivare immediatamente i filtri anti spam per proteggere il vostro account.
Enel ringrazia in anticipo coloro che segnaleranno all’azienda mail sospette ricevute, in modo da arginare e prevenire il fenomeno delle truffe sulla rete.
https://www.enel.it/it/supporto/avvisi/attenzione-truffa-email-falsi-rimborsi
https://urlscan.io/result/a9e139dd-f709-43d3-a413-d8084069d133/