Era davvero diverso tempo che non ci imbattevamo in un tentativo di phishing come quello che recensiamo oggi e che ieri, 27 gennaio 2014, abbiamo trovato nella nostra casella email; un tentativo, questa volta, decisamente ben congegnato ed anche ben riuscito, tant’è che a primo acchitto ha ingannato anche noi. Si tratta di una finta email proveniente dal supporto della Apple che ci comunica che l’accesso al nostro account Apple sarebbe stato bloccato a seguito di una serie di tentativi di “accesso” da IP non riconosciuti e differenti tra loro. Alleghiamo qui sotto lo screenshot dell’email che abbiamo ricevuto per commentarla meglio. Eccola:
Come sempre accade nei tentativi di phishing il messaggio mira a creare uno stato di apprensione nell’utente, cercando di allarmarlo in modo che istintivamente, cliccando sugli appositi link riportati nel testo, esso venga reindirizzato ad una pagina web civetta dove dovrà inserire nuovamente i propri dati. Nel caso in esame, l’email è scritta in un corretto italiano, l’indirizzo del mittente sarebbe appleid@tunes.it, ed appare credibile (anche se il dominio tunes.it non appartiene ad apple!), i dati riportati in calce all’email sono reali (li analizzeremo tra poco). Infatti se scorriamo l’email verso il basso notiamo, come potete vedere dallo screenshot sotto riportato, che i dati societari della Apple sono quelli reali, ed anche il link per “disiscriversi” dai comunicati commerciali è quello reale della Apple.
Insomma l’email appare davvero con tutti i crismi della “regolarità” e sembrerebbe a primo acchitto provenire effettivamente dal supporto clienti della Apple. Ma se andiamo ad analizzare i link riportati nel corpo del testo, guarda casa proprio quelli che dovremmo cliccare per “risolvere” il problema sorto con il nostro account che “rischierebbe” la chiusura, notiamo come l’indirizzo non sia più quello di apple bensì uno del tutto diverso. Questo lo potete vedere nello screenshot qui sotto:
Anche in questo caso la pagina web risulta decisamente credibile, i link riportati in testa ed in calce, sono effettivamente quelli che reindirizzano al sito originale della Apple, ed analizzando il sorgente pagina ci rendiamo conto che solo il form sottostante al “pulsante azzurro” con la dizione “Accedi” invierebbe i nostri dati ai truffatori online anzichè alla Apple. L’elemento sempre da tenere in considerazione in questi casi resta l’indirizzo della pagina web a cui l’email ci ha collegato, che anche in questo caso, non è affatto quello Apple come potete vedere nello screenshot successivo:
Il sito su cui è ospitata la pagina web di phishing è quindi il dominio, sekutenetwork.com, un sito di cui con ogni probabilità il legittimo proprietario è assolutamente all’oscuro della presenza della pagina di phishing. Anche in questo caso, come in altri che abbiamo analizzato, infatti, sembrerebbe che i truffatori online abbiano utilizzato qualche bug del CMS del sito per caricarvi all’insaputa del legittimo proprietario la pagina di phishing. Questa impressione è confermata se andiamo a visitare la pagina home del sito di phishing che è in realtà un blog sul salute e sul benesse in lingua inglese, come potete vedere dal nostro ultimo screenshot
In conclusione, siccome i nostri dati personali e quelli di pagamento non sono solo associati ai conti bancari o postali, che restano un “must” per i tentativi di phishing, ma anche a moltissimi servizi fruibili online, questo tentativo inaugura una nuova stagione del “phishing” a cui bisognerà in futuro prestare ancora maggiore attenzione