Controlla la tua truffa sulle attività recenti

I ricercatori di sicurezza informatica hanno segnalato una diffusa campagna di phishing nota come truffa "Controlla le tue attività recenti". Questi messaggi affermano falsamente che ci sono stati accessi sospetti alla webmail del destinatario e spingono gli utenti a "proteggere" i propri account cliccando su un pulsante che porta a una falsa pagina di accesso. Queste email sono spam dannoso e non sono associate a cPanel, provider di webmail o ad alcuna azienda, organizzazione o servizio legittimo. Trattateli come tentativi ostili di rubare credenziali e diffondere malware.

L’esca via email

I messaggi tipici (le righe dell'oggetto variano; un esempio comune inizia con "Abbiamo rilevato attività di accesso recenti sul tuo account Webmail, conferma") presentano un riepilogo delle attività inventato, che di solito dichiara tre accessi recenti da regioni diverse (solitamente Africa, Europa e Nord America). Il messaggio esorta il destinatario a controllare o proteggere immediatamente il proprio account. Per creare urgenza, avverte che l'accesso sarà limitato o utilizza un linguaggio eloquente, volto a indurre l'utente ad agire senza riflettere. Il pulsante "Account protetto" promesso è la trappola: reindirizza a una pagina di raccolta credenziali camuffata per sembrare un modulo di accesso email legittimo.

Come procede la truffa

Se digiti il tuo indirizzo email e la tua password nella pagina di phishing, gli aggressori acquisiscono tali credenziali e possono:

• Prendi il controllo della posta in arrivo e leggi o elimina i messaggi.
• Invia messaggi di phishing o truffa ai tuoi contatti (spesso fingendoti te stesso).
• Utilizza i flussi di reimpostazione della password per assumere il controllo dei servizi collegati (social network, negozi, servizi bancari, archiviazione cloud, ecc.).
• Commettere frodi, richiedere denaro ai propri contatti o distribuire malware e link dannosi.
• Vendere credenziali di accesso e dati personali sui mercati clandestini.

Come individuare le email di phishing

• Avviso di sicurezza inaspettato relativo ad accessi recenti non richiesti.
• Linguaggio urgente e minacce di disconnessione o sospensione dell'account.
• Un pulsante o un collegamento ben visibile denominato "Account protetto" / "Controlla attività" che rimanda a un URL sconosciuto.
• Testo scritto male o sottili incongruenze nei loghi, negli indirizzi dei mittenti o nella formattazione (anche se alcune campagne sembrano molto curate).

I rischi della posta indesiderata

Queste campagne di spam possono includere anche allegati o link che veicolano malware. Tra i tipi di allegati dannosi più comuni riscontrati in campagne come questa figurano: archivi (ZIP, RAR), file eseguibili (.exe, .run), documenti di Office (Word, Excel), PDF, file di OneNote e JavaScript. Alcuni tipi di file richiedono azioni aggiuntive da parte dell'utente, ad esempio i documenti di Office potrebbero richiedere l'attivazione di macro e i file di OneNote potrebbero basarsi su link incorporati. Tuttavia, una volta eseguite tali azioni, la catena di installazione del malware può avere inizio.

Conclusione

La campagna "Controlla le tue attività recenti" è un chiaro esempio di come gli aggressori sfruttino la paura e l'urgenza per rubare credenziali e diffondere malware. Ricorda: i provider legittimi raramente richiedono una verifica immediata tramite link email indesiderati, mentre gli avvisi di sicurezza autentici possono essere verificati accedendo direttamente al tuo account tramite il sito ufficiale del provider o contattando l'assistenza. Vigilanza, password univoche e autenticazione a due fattori sono le tue migliori difese. Se sei già stato compromesso, agisci rapidamente: cambia le password, abilita l'autenticazione a due fattori, scansiona i tuoi sistemi e informa i provider interessati.