Check Point Research (CPR) mette in guardia dalle truffe di phishing online legate alle vacanze estive. Nel mese di maggio 1 nuovo dominio correlato alle vacanze estive su 33 è risultato essere malevolo o sospetto.
Autore: Redazione BitCity
Pubblicato il: 10/07/2024
Con l'avvicinarsi della stagione estiva, si pianificano le vacanze. Nell'eccitazione della prenotazione di voli e alloggi, è fondamentale rimanere vigili contro la crescente ondata di minacce informatiche che colpiscono i vacanzieri. I criminali informatici si stanno preparando, sfruttando le vulnerabilità legate alla pianificazione delle vacanze per lanciare truffe di phishing e distribuire siti web malevoli volti a rubare informazioni personali
Nel solo mese di maggio 2024, Check Point Research (CPR) ha rilevato una significativa crescita delle truffe informatiche legate all'estate, evidenziando la necessità per chi viaggia di rimanere informati e proattivi nella salvaguardia dei propri dati personali. In particolare, è stata osservata una notevole impennata di domini di nuova creazione legati alle vacanze o alle ferie, con un aumento significativo rispetto allo stesso periodo dell'anno scorso. Dei 25.668 nuovi domini registrati, uno su 33 è risultato essere malevolo o sospetto.
Il CPR ha identificato diversi domini malevoli, tra cui siti come booking-secure928[.]com, hotel-housekeeper[.]com e agodabooking[.]top. Questi siti si spacciano per siti di noti marchi di viaggi e sono progettati per ingannare gli utenti e indurli a inserire le proprie credenziali di accesso, con il rischio di furto di informazioni personali.
Inoltre, è bene diffidare delle e-mail di phishing camuffate da comunicazioni legittime di aziende affidabili. Ad esempio, una campagna di phishing osservata nel maggio 2024 riguardava un'e-mail con oggetto “Booking.com Invoice 3255753442” inviata dall'indirizzo “noreply@b00king[.]biz”. L'e-mail conteneva un allegato PDF chiamato “Invoice-3255753442.pdf” che, una volta aperto, non funziona correttamente (si veda immagine sotto). Appare quindi la notifica che il file non è supportato e si viene poi reindirizzati a un sito Web malevolo: cloudflare-ipfs[.]com/ipfs/QmZYCr9qyyq2UwPfDvDMyiNGedAsGLgphvaNReTTBMCRiS.
Accedendo all’URL, come esca l'utente viene reindirizzato alla pagina principale del sito web legittimo di Booking, visualizzando un percorso URL che sembra collegato al file (booking[.]com/#lnvoice-3255753442.pdf). Durante questo periodo, due file JavaScript dannosi vengono scaricati sul computer (come si può vedere nell'immagine sotto) e contattano un altro sito Web malevolo noto (mainhotel5may[.]blogspot[.]com//////////////////////hehehehebeen) da cui è stato scaricato il malware AgentTesla (ad esempio il file JavaScript, d5:fffee7bcbf8f724b68d02ebe0c5a133b).
Come proteggersi dalle minacce