Scoperta una campagna di phishing che coinvolge migliaia di siti web imitando noti brand di abbigliamento e calzature
Qualche giorno fa è stata scoperta una maxi truffa online che coinvolge oltre un centinaio di popolari brand di abbigliamento e calzature.
La campagna, iniziata un anno fa nel giugno del 2022, usa le tecniche del phishing e mira ad ingannare gli utenti per indurli ad inserire le loro informazioni personali e finanziarie su siti web falsi, controllati dai criminali informatici.
La lista dei marchi coinvolti è lunga e va da Nike a Puma, da Adidas a Caterpillar, passando per molti altri. I ricercatori hanno identificato almeno 3.000 domini coinvolti con picchi a giugno 2022, a novembre 2022 e febbraio 2023.
Phishing su noti brand di moda. La tecnica usata
La modalità di attacco usata in questa campagna di Phishing è relativamente semplice.
Sono stati registrati tantissimi nomi a dominio seguendo un modello plausibile per il brand legittimo: nome del marchio associato a una città o ad un paese, seguito dalla generica estensione “.com”.
Sono stati poi realizzati dei siti web fasulli dall’aspetto identico ai siti web legittimi dei marchi a cui si riferivano con lo scopo di confondere gli utenti ed ingannarli facendo credere loro di stare navigando sui siti web ufficiali. L’obiettivo, ovviamente, è indurre le vittime ad inserire i propri dati personali e le proprie informazioni finanziarie come la carta di credito.
I domini truffa erano ospitati da due provider di servizi Internet (Packet Exchange Limited e Global Colocation Limited) già precedentemente associati al rischio di frode e la maggior parte dei domini in questione era stata registrata tramite Alibaba.com di Singapore.
I ricercatori hanno individuato anche un’altra tattica: hanno registrati i domini e li hanno lasciati “invecchiare”, senza usarli subito per attività illecite, per aggirare gli strumenti di sicurezza: più a lungo un dominio rimane in vita senza essere usato per scopi fraudolenti, meno è probabile che venga contrassegnato come sospetto.
Lasciare “invecchiare” i domini è una tattica di malvertising (tipo di pubblicità online usata per diffondere malware) diffusa e impiegata in campagne di Phishing dal 2018.
Come proteggersi dal Phishing
Per evitare di cadere nella trappola del Phishing ti consigliamo di:
- Verificare con molta attenzione i domini dei siti web in cui navighi e su cui vuoi acquistare prodotti.
- Non rispondere a email che richiedono informazioni personali o finanziarie.
- Non cliccare su link sospetti o allegati contenuti nelle email. Potrebbero portarti a siti web contraffatti creati per raccogliere i tuoi dati.
- Prestare attenzione alle email che contengono errori grammaticali, di ortografia o di formattazione. Spesso è un segnale che l’email non proviene dalla fonte legittima.
- Evitare di fornire informazioni personali su siti web non protetti. Cerca il simbolo del lucchetto chiuso e l’indirizzo HTTPS nella barra del browser per assicurarti che il sito sia protetto da un certificato SSL.
- Se non sei sicuro della legittimità di una richiesta, contatta direttamente l’azienda o il servizio utilizzando le informazioni di contatto reperibili sul loro sito web ufficiale.
Ricorda: la cautela è la prima linea di difesa contro i tentativi di phishing. Prendi il tempo necessario per valutare attentamente qualsiasi richiesta di informazioni personali, in modo da proteggere la tua identità e le tue risorse finanziarie.
Copywriter, Marketing Specialist e Communication lover. Da sempre appassionata ai libri e alla scrittura, mi occupo di creare contenuti per il web ma non posso rinunciare al mio primo amore: la carta e la penna! Fuori dal web viaggio, cerco di tenermi in forma e soprattutto faccio la mamma.
