Truffa via email relativa alla richiesta di riconvalida della proprietà del dominio

Le email inaspettate che richiedono un'azione urgente devono sempre essere trattate con cautela. I criminali informatici spesso si spacciano per organizzazioni e enti regolatori affidabili per creare un falso senso di urgenza e spingere i destinatari a prendere decisioni affrettate. Le email con la dicitura "Richiesta di convalida della proprietà del dominio" sono un esempio lampante di questa tattica. I ricercatori nel campo della sicurezza hanno identificato questi messaggi come parte di una campagna di phishing progettata per rubare le credenziali degli account email. È importante sottolineare che queste email non sono associate ad alcuna azienda, organizzazione, registrar di domini o autorità di regolamentazione legittima.

Mascherato da avviso ufficiale di conformità

Le email fraudolente sono create per assomigliare a notifiche ufficiali di conformità del dominio. I destinatari vengono informati che la proprietà del loro dominio non è stata riconvalidata negli ultimi 90 giorni e che è necessario intervenire per essere in regola con presunte normative. I messaggi fanno riferimento al "Regolamento ICANN 3.18" e avvertono che il mancato completamento del processo di verifica comporterà la sospensione dei servizi di posta elettronica in entrata e in uscita entro sette giorni.

Il linguaggio utilizzato nell'intera email è volto a creare preoccupazione e urgenza. Minacciando interruzioni del servizio, i truffatori cercano di convincere i destinatari ad agire immediatamente senza verificare l'autenticità del messaggio.

Il falso processo di riconvalida

Al centro della truffa si trova un pulsante solitamente etichettato "Riconvalida il dominio ora". Cliccando su questo pulsante, gli utenti vengono reindirizzati a una pagina di accesso fraudolenta alla webmail, che si spaccia per un portale di un servizio di posta elettronica legittimo.

La pagina di phishing imita la schermata di accesso di Roundcube Webmail ed è ospitata sulla piattaforma Firebase Storage di Google. Per rendere la pagina più convincente, l'indirizzo email della vittima potrebbe essere già precompilato automaticamente. Agli utenti viene quindi chiesto di inserire la propria password per proseguire con il presunto processo di verifica.

In realtà, la pagina ha un solo scopo: raccogliere le credenziali di accesso e trasmetterle direttamente agli aggressori.

Cosa succede quando le credenziali vengono rubate?

Gli account di posta elettronica compromessi possono fornire ai criminali informatici l'accesso a una notevole quantità di informazioni personali e aziendali. Poiché gli account di posta elettronica sono spesso collegati a numerosi servizi online, gli aggressori possono sfruttare le credenziali rubate per ampliare ulteriormente il loro accesso.

Una volta ottenuto il controllo di un account di posta elettronica, i criminali possono:

• Leggere messaggi riservati e comunicazioni sensibili.
• Reimposta le password degli account online collegati.
• Fingersi la vittima nelle comunicazioni con colleghi, clienti, amici o familiari.

• Distribuisci ulteriori email di phishing da un account considerato affidabile.

• Raccogliere informazioni personali a scopo di furto d'identità o frode finanziaria.

Poiché gli account di posta elettronica spesso fungono da metodo di recupero principale per altri servizi, una singola casella di posta compromessa può portare all'accesso non autorizzato a più account.

Perché le affermazioni sono false

Diversi indicatori rivelano la natura fraudolenta di queste e-mail. I messaggi tentano di sfruttare l'autorità dell'Internet Corporation for Assigned Names and Numbers, comunemente nota come ICANN, suggerendo falsamente che la rivalidazione del dominio sia in corso tramite notifiche dirette via e-mail.

In realtà, l'ICANN non contatta i singoli utenti tramite messaggi non richiesti per chiedere la rivalidazione del dominio. Inoltre, nessuna autorità di dominio legittima o fornitore di servizi affidabile richiede agli utenti di verificare le credenziali di accesso tramite un link incorporato in un'e-mail inaspettata.

Il nome del mittente spesso visualizzato in questi messaggi, "Global Domain Validation Center", non ha alcun collegamento riconosciuto con ICANN, registrar accreditati o qualsiasi organizzazione legittima di gestione dei domini. L'intera situazione è inventata per creare credibilità e ingannare i destinatari.

La minaccia più ampia che va oltre il furto di credenziali

Sebbene l'obiettivo principale di questa campagna sia la raccolta di credenziali, email fraudolente simili vengono spesso utilizzate anche per la distribuzione di malware. Gli autori delle minacce impiegano comunemente attacchi via email per diffondere software dannoso alle potenziali vittime.

Le email contenenti malware possono includere allegati infetti o link che rimandano a siti web dannosi. I tipi di file comunemente utilizzati in questi attacchi includono file eseguibili, documenti PDF, archivi come file ZIP o RAR, script e documenti di Office contenenti codice dannoso. In alcuni casi, agli utenti viene richiesto di abilitare macro o altre funzionalità che attivano il processo di infezione.

La maggior parte delle infezioni da malware trasmesse via e-mail richiede un certo livello di interazione da parte dell'utente, come l'apertura di un allegato, l'avvio di un file scaricato, il clic su un link dannoso o l'attivazione di contenuti incorporati. Per questo motivo, la cautela e la verifica rimangono fondamentali quando si gestiscono messaggi inaspettati.

Come rispondere a queste email

I destinatari che ricevono un'e-mail con oggetto "Richiesta di convalida della proprietà del dominio" devono evitare qualsiasi interazione con il messaggio. Non cliccate sui link, non aprite gli allegati e non inviate mai informazioni personali tramite pagine raggiunte da e-mail non richieste.

La cosa più sicura da fare è eliminare immediatamente l'e-mail. Chi ha già inserito le proprie credenziali nella pagina di phishing dovrebbe cambiare la password della propria e-mail senza indugio, aggiornare le password di tutti gli account che potrebbero condividere le stesse credenziali e abilitare l'autenticazione a più fattori ove possibile.

Considerazioni finali

La campagna email "Richiesta di convalida della proprietà del dominio" è una truffa di phishing mascherata da avviso di conformità relativo all'ICANN. Il suo scopo è indurre i destinatari a fornire le credenziali del proprio account email tramite una pagina di accesso alla webmail fraudolenta. I messaggi fanno leva sulla paura, sull'urgenza e su false affermazioni normative per manipolare le vittime e spingerle ad agire senza le dovute verifiche.

Comprendere il funzionamento di queste truffe è fondamentale per proteggere le informazioni sensibili. Mantenendo un atteggiamento scettico nei confronti di richieste inaspettate, verificando le informazioni attraverso canali ufficiali ed evitando i link contenuti in email non richieste, gli utenti possono ridurre significativamente il rischio di diventare vittime di furto di credenziali e altre minacce informatiche.