Phishing Rinnovo Aruba Dominio in scadenza

Più di uno fra i nostri clienti ha ricevuto nelle ultime settimane questa mail di phishing, che simula una mail di Aruba in cui si chiede il rinnovo dominio, o la scadenza del dominio stesso. E’ uno dei tanti sistemi per rubarvi password e soldi.

In questo caso la mail è arrivata alla mail principale di www.inerteco.com, ma fa riferimento al dominio www.gabbioniarmati.it. Il titolare della ditta Inerteco ci ha giustamente contattati perchè è anche titolare del dominio www.gabbioniarmati.it. In questo mondo in cui siamo tutti di corsa, e non sappiamo assolutamente dove abbiamo messo la mail di registrazione del dominio, di una password, o comunque di elementi indispensabili alla nostra vita sul web di ogni giorno, la mail può sembrare non solo assolutamente plausibile, ma anche utile.

Il destinatario – fra sè – magari ringrazierà anche il criminale informatico per l’invio, pensando che si tratti di Aruba, quello vero, e che offra un servizio per ricordarsi dei siti in scadenza.

Semplicemente: non aprite l’allegato, buttate la mail

Ci sono modi diversi per affrontare lo stesso problema, e non tutti, in effetti, sono interessati a scoprire i retroscena della criminalità sul web. Dunque ecco il testo del possibile messaggio che potreste ricevere:

Gentile cliente,
ti informiamo che il dominio aruba.it scadrà.

COME RINNOVARE?
L’operazione di rinnovo è semplice e veloce: è sufficiente effettuare l’ordine online e relativo pagamento.
00
RINNOVA ОRA СОN UN CLICKhtt
Per visualizzare il riepilogo dell’ordine e l’importo da pagare, puoi procedere al rinnovo da questa pagina.

COSA ACCADE SE NON RINNOVI?
In assenza di regolarizzazione da parte vostra entro 48 ore, si procederà a sospendere Sicuramente i vostri servizi.

Cordiali saluti

Qui accanto un paio di immagini della mail. I loghi utilizzati ovviamente non sono sempre uguali, ma il testo è più o meno lo stesso.

Aruba ha già preso nota di questo e di molti altri tentativi di phishing, e trovate a QUESTO LINK la pagina che ne parla.

Si consigliano queste operazioni:
La comunicazione non proviene da Aruba, pertanto invitiamo chiunque a:

  • non rispondere in alcun modo all’email
  • non effettuare alcuna fra le operazioni indicate dalla mail
  • non aprire nessun file allegato
  • non cliccare su nessun link sia contenuto nella mail

Per approfondire. Come funziona questo phishing?

phishing-aruba-lolli-group-2
Se state ancora leggendo, forse vi interessa come possa nascere questo phishing, e in che modo, esattamente possa funzionare.
Vediamo ora in dettaglio la mail ricevuta.

Senza cliccare, possiamo guardare intanto il link, basta passarci sopra – senza cliccare appunto – il puntatore del mouse. In questo caso viene fuori un link di questo tipo:

http://XXXXXXXX.com/wp-admin/js/#https://managehosting.aruba.it/AreaUtenti.asp?Lang=EN

Al posto delle “XXX” esce il nome di dominio di un sito qualsiasi. Cosa ha fatto il delinquente digitale? Vedete che dopo wp-admin c’è un comando js, quindi Java Script? (stiamo ovviamente semplificando).In pratica l’hacker è riuscito a prendere possesso in qualche modo del sito web di qualche malcapitato, e, senza che questo potesse accorgersene, ha installato una pagina web in tutto e per tutto uguale a quella di Aruba, dove si chiede il rinnovo – e il pagamento – di un nome di dominio web. Stessa cosa per le mail di phishing – riferite ad Aruba – che riguardino fatture non pagate, che riguardino altre attività in scadenza, e altro che solo la fantasia o l’imitazione degli hackers riescono a immaginare.

In pratica si sfrutta un sito web qualsiasi per appoggiare una richiesta di denaro. Una volta incassato, l’estensione “extra” sparisce nel nulla come è apparsa, e tutto torna alla normalità. Peraltro scelgono di solito bene i siti web su cui installare questi sistemi. Quello oggetto della nostra mail phishing, che è poi di un dentista, lo abbiamo subito avvisato. Come anche in precedenza abbiamo avvisato i proprietari di altri siti coinvolti, loro malgrado, in operazioni truffaldine.

Nessuno ha risposto, nessuno ha nemmeno scritto un “Grazie, ce ne occuperemo o ne faremo occupare chi di dovere”. Non potendo immaginare che esistano così tanti cafoni nel mondo, tanto cafoni da non ringraziare nemmeno per una segnalazione tanto importante, la logica conclusione è che questi siti non siano presidiati, o lo siano in modo molto, molto saltuario. L’hacker, in pratica, può farci i comodi suoi.phishing-aruba-lolli-group

Non toccate allegati, non pagate, non cliccate

Il suggerimento è sempre lo stesso, e anche Aruba stesso ne parla sul suo sito, sopra segnalato, nelle pagine dei sempre nuovi sistemi trovati dai truffatori per tentare di ingannare i clienti. Non cliccate su nessun link, non aprite nessun allegato, non pagate niente!

Men che meno utilizzate la carta di credito, non scrivete i numeri e la scadenza o il codice CVV, oppure password varie.

Controllate nel dubbio che su qualsiasi sito dove vi chiedano soldi ci sia, a fianco dell’indirizzo di dominio in alto – come ad esempio https://www.lolligroup.com – ci sia un piccolo lucchetto di colore verde. Se guardate sul nostro sito Lolli Group, infatti, lo trovate.

Se invece vedete un lucchetto aperto, per di più rosso, o addirittura il browser vi avvisa che state per raggiungere un sito pericoloso, avete la vostra conferma di quanto sia pericoloso quello che state facendo.

Un Hacker non è incappucciato e nascosto

Gli hacker non ve li dovete immaginare come personaggi con il cappuccio nero in testa, chiusi nel buio di una stanza, con otto monitor accesi. Per la maggior parte gli hacker sono delle vere e proprie congregazioni (le potremmo quasi chiamare aziende, se non fosse per lo scopo sociale), che muovono migliaia e migliaia di siti web di inconsapevoli utenti, e milioni di mail di phishing.

A loro non interessa nulla della vostra denuncia piccata alla Polizia Postale, o al Garante della Privacy. Non stanno di sicuro in Italia e non si preoccupano minimamente delle nostre leggi. Simulano gli accessi da qualsiasi server vogliano, e individuarne l’indirizzo IP non ha alcun senso. In pratica non abbiamo modo per difenderci, o quasi.

Per chi ha un sito internet / web e quindi è a rischio di installazione malevola di uno script per rubare soldi alle persone, consigliamo come sempre di cambiare spesso la password, di utilizzare nomi diversi da quelli della figlia o figlio più l’anno di nascita, o della moglie o marito, o ancora del cane. Non tanto perchè l’hacker lo possa conoscere, magari dalla Moldavia, ma perchè utilizza una lista di possibili parole che contengono anche tutti i nomi comuni e meno comuni italiani, come quelli di altre lingue e nazioni, e i computer li mescolano con anni, date, parole, simboli.

Verifica sicurezza password

Un sito, How Secure is My Password, ovvero quanto è sicura la mia password, o anche password check o password checker, che trovate semplicemente a QUESTO LINK, vi offre una grande possibilità. Provate a inserire la vstra password comune, quella che utilizzate ad esempio per Facebook o per l’amministrazione del sito web. Il sistema risponde con la quantità di tempo che ci vuole per scoprire la password. Con un computer.

Tenete presente che un hacker o un gruppo di hacker utilizzano non uno, ma decine e migliaia di server e computer, di cui hanno preso possesso e che riescono a comandare da remoto, per tentare i craccare una password. Se il check che avete fatto scrivendo la password vi dice che ci vuole un mese per ottenerla, vuol dire che usando 30 computer – in parallelo – ci vorrà più o meno un giorno. E così via.

Tenete infine presente che il sistema non dice MAI che una password non sia craccabile: vi dice solo quanto ci vuole. Ed è proprio così: non è questione di password, è solo questione di tempo e di risorse, prima o poi la password si trova.

 


Per il vostro sito web SEO, per SEO Content, comunicazione online, gestionali aziendali, programma per fatture, gestionale personalizzato o se desiderate un posizionamento nella prima pagina di Google, come per verificare il vostro ecommerce, contattateci: