Nell’ultimo periodo dell’anno, caratterizzato da allegria e vendite abbondanti, gli esperti di Kaspersky hanno individuato casi di phishing costruiti intorno alle festività di Natale e Capodanno.
In pratica, i truffatori hanno mascherato il furto di dati personali e denaro come omaggi per le feste.
Alcuni siti di phishing miravano infatti a ottenere dati infiltrandosi nei social media e negli account di messaggistica personali degli utenti sotto varie spoglie. Quindi, richiedevano informazioni che una volta ottenute venivano inviate direttamente nelle mani dei truffatori.
In questo modo, i truffatori potevano ottenere l’accesso completo all’account, portando potenzialmente al furto dell’identità digitale, all’accesso alle conversazioni private e alla possibilità di fingersi la vittima per ulteriori attività dannose.
Presi di mira account personali a Singapore
Uno di questi episodi di phishing è stato segnalato a Singapore. I truffatori hanno creato un sofisticato sito di phishing rivolto ai privati con la promessa di pagamenti per il nuovo anno, apparentemente provenienti dal Ministero delle Finanze di Singapore.
Questo sito ingannevole è stato progettato per imitare il profilo del ministero in modo da renderlo credibile. Per ricevere il pagamento, veniva richiesto ai visitatori di inserire i dati del proprio account Telegram.
Imitare le banche per le offerte di Capodanno
Un’altra tecnica di phishing era una lotteria con le banche. Poiché Capodanno è un periodo di offerte e regali vantaggiosi, i truffatori hanno creato siti di phishing che invitavano gli utenti a partecipare a lotterie con l’obiettivo di ottenere i loro dati bancari per derubarli.
Un caso di frode di Capodanno è stato rivolto ai cittadini delle Filippine, attirati su un sito web dove sono stati invitati a girare una ruota per avere la possibilità di vincere una somma di denaro.
Dopo il lancio, agli utenti è stata mostrata la presunta vincita, ed è stato chiesto di scegliere tra varie banche dove depositare i presunti guadagni. Dopo aver effettuato la scelta, gli utenti si sono ritrovati su siti di phishing progettati per simulare interfacce bancarie online legittime. La mossa finale della truffa mirava infatti a ottenere l’accesso alle credenziali bancarie.
False gift-box di criptovalute senza Pokémon
La posta in gioco nel mercato delle criptovalute è molto alta: rubare un portafoglio anche con solo pochi bitcoin può fruttare ai truffatori un profitto significativo. Pertanto, si impegnano molto a creare e-mail e siti di phishing credibili, rendendo così più difficile per l’utente notare qualcosa di sbagliato.
In uno di questi casi i truffatori hanno creato una pagina di phishing copiando l’offerta ufficiale di Courtyard.io, un sito che consente di convertire oggetti fisici da collezione in token. Courtyard.io invitava gli utenti a registrarsi e ad acquistare una gift-box di Capodanno contenente una carta Pokémon.
I truffatori hanno creato una pagina di phishing con la stessa offerta. Ma per ricevere la scatola i visitatori dovevano collegare un portafoglio di criptovalute.
