INDICE dei PHISHING

Di seguito riportiamo i tentativi di phishing a mezzo email più comuni, rilevati dal Centro Ricerche Anti-Malware di TG Soft nel mese di gennaio 2026:

11/03/2026 => Aruba - Azione necessaria
08/03/2026 => Aruba - Rinnova il dominio
04/03/2026 => Banco BPM
03/03/2026 => Webmail

Queste email hanno lo scopo di ingannare qualche malcapitato inducendolo a fornire dati sensibili, come le informazioni del conto corrente, i codici della carta di credito o credenziali di accesso personali, con tutte le possibili conseguenze facilmente immaginabili.

• Un po' di attenzione e colpo d'occhio, possono far risparmiare parecchi fastidi e grattacapi...

• Prova Vir.IT eXplorer Lite
  

• Ringraziamenti

• Come inviare e-mail sospette per l'analisi

11 Marzo 2026 ==> Phishing Aruba - Azione necessaria per la gestione dello spazio

OGGETTO: <[dominio] Azione necessaria per la gestione dello spazio>

Ecco un nuovo tentativo di phishing che si spaccia per una comunicazione da parte del brand Aruba. Questa volta iI messaggio informa il ricevente che il alcune email in arrivo sono in attesa a causa della casella elettronica che si sta avvicinando al limite di archiviazione. Sembrerebbe quindi necessario procede a liberare lo spazio cliccando su uno dei seguenti link:

Rilascia le Email in Attesa
Gestizi Archiviazione

Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Analizzando attentamente il messaggio ci sono alcuni indizi che dovrebbero insospettire. Notiamo subito che l’indirizzo e-mail da cui proviene il messaggio non è riconducibile al dominio ufficiale di Aruba <534963156606739[at]nycent[dot]com>, fatto questo decisamente anomalo, che dovrebbe insospettirci... 

Chi dovesse malauguratamente cliccare sui link verrà dirottato su una pagina WEB che, sebbene simuli graficamente la pagina di accesso all’account di Aruba, in quanto il cybercriminale ha avuto l’accortezza grafica di inserire il logo della nota azienda, notiamo che l’indirizzo/dominio è anomalo:

 https[:]//[NomeDominioFake*]

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password della sua e-mail da cui potrà poi procedere all'aggiornamento dei suoi dati anagrafici per poter riattivare i servizi.

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale, e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto questi saranno recapitati ai cyber-criminali ideatori della truffa che li utilizzeranno per scopi criminali. Ricordiamo che la fretta non è mai una buona consigliera e che, in presenza di questi tentativi di frodi informatiche, è necessario prestare attenzione anche la più piccolo dettaglio.

08 Marzo 2026 ==> Phishing Aruba - Rinnova il dominio

OGGETTO: <Problema di fatturazione>

Continuano anche questo mese i tentativi di phishing che si spacciano per comunicazioni da parte del brand Aruba.

II messaggio informa il ricevente che il suo dominio ospitato su Aruba  è in scadenza. Lo avverte quindi che per evitare interruzioni del servizio, blocco delle mail in arrivo o perdita del dominio, deve procedere sin da subito al rinnovo di quest'ultimo attraverso il seguente link:

Rinnova il Dominio

Prestiamo sempre attenzione a richieste di inserimento delle credenziali personali, tramite link sospetti comunicati via mail.
Chiaramente la nota azienda di servizi di web hosting, e-mail e registrazione domini, Aruba è estranea all'invio massivo di queste mail che sono delle vere e proprie truffe il cui obiettivo resta, come sempre, quello di rubare dati sensibili dell'ignaro ricevente.

Notiamo subito come l’indirizzo email da cui proviene non è riconducibile al dominio ufficiale di Aruba <noreply[at]nordisssa[dot]firebaseapp[dot]com>. Questo fatto è decisamente anomalo e dovrebbe quantomai insospettirci.   

Chi dovesse malauguratamente cliccare sul link RINNOVA IL DOMINIO verrà dirottato su una pagina WEB che, sebbene simuli graficamente la pagina di accesso all’account di Aruba, in quanto il cybercriminale ha avuto l’accortezza grafica di inserire il logo della nota azienda, notiamo che l’indirizzo/dominio è anomalo:

 https[:]//[NomeDominioFake*]

In questa pagina l'utente viene invitato ad accedere alla sua area cliente inserendo login e password della sua e-mail da cui potrà poi procedere al rinnovo del suo account pagando la somma richiesta. Ovviamente vi invitiamo a non inserire i dati della vostra carta di credito.

Lo scopo dei cyber-criminali ideatori della truffa è infatti chiaramente impossessarsi di essi. Prestate quindi sempre la massima attenzione, e verificate le scadenze dei servizi attivi solo attraverso le pagine ufficiali e non tramite link sospetti.

04 Marzo 2026 ==> Phishing Banco BPM

«OGGETTO: <Conferma le tue informazioni>

Di seguito analizziamo la seguente campagna di phishing, che giunge attraverso un'e-mail che, sfruttando la grafica rubata, o simile, a quella di un noto Istituto Bancario nazionale, in questo caso BANCO BPM, cerca di spacciarsi per una comunicazione ufficiale, per indurre l'ignaro ricevente ad effettuare quanto richiesto e a cadere in questo tranello basato su tecniche di ingegneria sociale (social engeenering).

03 Marzo 2026 ==> Phishing Webmail

OGGETTO: <RFQ – Chemicals and Other Items>

Analizziamo di seguito il tentativo di phishing che ha l'obiettivo di rubare le credenziali dell'account di Posta Elettronica del malcapitato.

Il messaggio, in lingua inglese, sembra essere un arichiesta di preventivo "per prodotti chimici e altri articoli" come da richiesta inviata, chiedendo di riportare nell'offerta i seguenti dati:

Prezzo unitario (con valuta)
Tempi di consegna
Termini di pagamento
Validità del preventivo
Specifiche tecniche (se applicabili)

La richiesta sembra provenire dalla "Masda Chemical Pte Ltd" di cui vengono riportati i riferimenti in calce. 
Analizzando la mail notiamo che il messaggio proviene da un indirizzo email che sembrerebbe provenire dal dominio di posta elettronica di Masda Chemical Pte Ltd, ma notimao che non è quello ufficiale <enquiry(at)masdachem(dot)com(dot)sg>. Questo è decisamente anomalo e dovrebbe quantomai insospettirci.

Chi dovesse malauguratamente cliccare sull'immagine riportata nella mail che dietro nasconde un link malevolo, verrà dirottato su una pagina WEB anomala, che dovrebbe simulare la pagina di accesso all'account di Posta Elettronica.

In questa pagina l'utente viene invitato ad accedere al suo account inserendo, in particolare, la password della sua casella elettronica da cui poi dovrebbe riuscire a vedere la richiesta di preventivo inviata...

La realtà dei fatti è che la pagina su cui si viene dirottati, è ospitata su un indirizzo/dominio anomalo:

https[:]//[NomeDominioFake*]

Vi invitiamo sempre a far attenzione ad ogni dettaglio, anche banale e a non inserire i vostri dati personali e/o password su form ospitati su pagine web contraffatte, in quanto verranno inviati su un server remoto e utilizzati da cyber-truffatori con tutti i rischi annessi e connessi facilmente immaginabili.