Фишинг для клиентов почты Италии

За последние месяцы мы обнаружили несколько фишинговых рассылок, в которых мошенники пытались выудить у клиентов государственной почтовой службы Италии «Poste Italiane» логины и пароли от личных кабинетов, а также персональную банковскую информацию, так как компания предлагает своим клиентам финансовые услуги в платежной системе Postepay. Фишеры рассылали мошеннические сообщения на адреса пользователей Италиии и для достижения своей цели прибегали к традиционным  приемам и уловкам.

Письма-уведомления о блокировке ученой записи рассылались с поддельного адреса почтовой службы. В качестве доменного имени сервера мошенники использовали домен созвучный официальному названию почтовой службы, однако указанный в поле отправителя домен не имел отношения к компании. В письме пользователя просили ввести логин и пароль от личного кабинета во вложенной в письмо HTML-форме. Мошенники обещали, что в результате заполнения необходимых полей блокировка снимется автоматически в течение нескольких минут без дополнительных действий со стороны получателя.

В письмах другой рассылки ссылка на фишинговую страничку указывалась в теле письма и была привязана к текстовой фразе.

Составители письма не стали пугать пользователя блокировкой учетной записи и ограничениями доступа к онлайн-услугам, а решили вызвать у него интерес, подделав письмо под уведомление о получении новой телеграммы. Для большей убедительности номер телеграммы также указывался в письме. Фишинговая страница была замаскирована под вход в личный кабинет.

Отметим, что такая страница входа в онлайн-кабинет использовалась «Poste Italiane» в 2010 году, сейчас она выглядит немного по-другому.

Но так как основной текст остался прежним, а изменения заметны только при сравнении двух страниц,  фишеры рассчитывают, что у пользователей вряд ли возникнут сомнения в подлинности страницы.

Для оформления поддельных писем злоумышленники использовали кроме текста еще и графические изображения – прием, характерный, в основном, для рекламных рассылок. Фишинговая ссылка была прикреплена к картинке в теле письма. Из написанного на ней текста получатель узнавал о вводе новой системы безопасности. Для того, чтобы продолжить пользоваться услугами почты Италии, ему необходимо было активировать платежную карту РօsteРаy, перейдя по ссылке, указанной в письме. Так как фальшивая ссылка была прикреплена к картинке, то она открывалась при нажатии пользователем на любой части изображения. На поддельной странице требовалось ввести полные данные платежной карты, что позволяло мошенникам сразу получить доступ к финансовой информации жертвы.

География мошеннических писем расширяется, в спам-трафике увеличивается количество фишинговых писем на разных языках, злоумышленники проводят таргетированные атаки для кражи персональных данных клиентов в разных странах. Поэтому мы вновь рекомендуем не переходить по подозрительным ссылкам и ни в коем случае не вводить на открывшихся страницах свои данные. Также следует помнить, что мошенники могут рассылать письма от имени не только крупных, но и не очень известных компаний.