Da alcuni giorni è in atto una massiccia campagna di phishing ai danni di Eni e dei consumatori, con lo scopo di rubare i dati delle carte di credito e i dati personali delle vittime.
Sono ormai decine le email che da venerdì scorso sto ricevendo su diversi account di posta elettronica.
La tecnica usata dai cyber-crminali, per cercare d’impossessarsi di dati personali sensibili delle vittime, è la solita usata per questo tipo di truffa. Una email molto curata nei particolari, il mittente riconducibile ad un Ente conosciuto.
Esistono però alcuni semplici controlli che possiamo effettuare per capire se una email è riconducibile ad un tentativo di phishing
- errori grammaticali nel testo della email: spesso il cyber-crminale opera in Paesi diversi dall’Italia e per la traduzione del testo viene usato un servizio online ad es. translate.google.it – reverso.net – wordreference.com
- controllo dell’header: i dati contenuti nell’header della email ci possono restituire parecchie informazioni utili, questo nonostante i dati tecnici contenuti al suo interno potrebbero apparire incomprensibili ai meno esperti. Esistono infatti svariati siti in internet che offrono gratuitamente il controllo del contenuto dell’header, ip-adress.com è uno di questi.
Nell’immagine più sotto, il testo e l’header di una delle email di phishing ricevute negli scorsi giorni.
La parte che più interessa, oltre al testo che presenta diversi errori grammaticali, è quella relativa al suo header. Analizzando alcuni suoi dati possiamo capire se la email ci è stata realmente inviata da Eni o se invece si tratta di una email di phishing. Ho oscurato alcuni dati sensibili.
- Mittente: il mittente è stato contraffatto dal phisher
- Return-Path: qualora non sia stato possibile consegnare l’e-mail, vengono indicate le opzioni di re-invio per il mail server.
- Received: nell’header sono presenti due “Received”, ma è quello indicato da me con il punto “3” che ci fa capire da dove realmente sia partita la email (booking.com “hostato” su Aruba S.p.A. – CLoud Services UK).A tal proposito c’è da fare una doverosa puntualizzazione. Nei giorni scorsi il sito booking.com ha subito attacchi da parte di hacker. Numerosi i dati sensibili rubati ad aziende che collaborano con la società olandese e ai propri clienti (nomi, indirizzi, numeri di telefono, date di prenotazione, indirizzi email). Tutto questo lascia pensare che fra gli attacchi hacker e la campagna di phishing in atto in questi giorni ai danni dell’Eni vi sia uno stretto collegamento.
- Dal link presente all’interno della email, si viene indirizzati verso un sito che certamente non ha nulla a che fare con Eni http://user57245.vs.speednames.com/-/ (indirizzo IP 91.194.151.34 Regno Unito) per poi essere reindirizzati verso il sito di phishing http://amzurej0.beget.tech/MyEnygasluce/ (indirizzo IP 5.101.158.143 Russia)