Aruba PEC, campagna di phishing in corso

Ai danni dei clienti Aruba sarebbe in corso una campagna di phishing con lo scopo di sottrarre credenziali di Posta Elettronica Certificata (PEC). Lo avverte il CERT-AGID.

Fonte CERT-AGID

Il messaggio avente per oggetto “ArubaPEC Notification: Avviso scadenza password 31/08/2023” potrebbe indurre l’utente a visitare un sito spacciato per quello ufficiale del noto gestore allo scopo di confermare la password di accesso alla propria casella PEC.

In realtà il sito non ha niente a che vedere con Aruba ma piuttosto trattasi di una riproduzione creata tramite il servizio web gratuito Weebly.

https:// arubapec. weebly. com/

Fonte CERT-AGID

Il form infatti invierà le credenziali eventualmente inserite nelle mani dei truffatori tramite l’invocazione del metodo POST ed una pagina PHP residente sullo stesso dominio (https:// arubapec .weebly. com/ajax/apps/formSubmitAjax.php).

Codice HTML del form richiedente le credenziali

Una volta inserite le credenziali, come conferma apparirà una pagina di ringraziamento.

Grazie! il processo di aggiornamento ha esito positivo. Chiudere il browser.

Prova di funzionamento del form effettuata durante l’analisi del sito

Il CERT-AGID fa sapere di avere già diffuso gli IoC alle PA e ai Gestori PEC e di aver segnalato l’abuso al servizio Weebly.

Altri IoC

https://urlscan.io/result/71b69c40-07a7-4ab9-902c-989a42a44072/

Su Salvatore Lombardo 118 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.