Il Threat Intelligence Team di D3Lab ha rilevato in settimana la diffusione di diverse campagne di phishing ai danni di Iliad, l’operatore di telecomunicazioni che conta oltre 10 milioni di clienti in Italia.
Di cosa si tratta
In questo caso i truffatori tentano di svuotare i conti correnti dei clienti proponendo una falsa pagina web per la ricaria della utenza telefonica. Venti sarebbero i domini che reindirizzerebbero le vittime verso due siti web probabilmente compromessi che propongono una riproduzione fedele della pagina di ricarica telefonica Iliad: mylattina[.]com e thefireplaceacademy[.]com.
I dati eventualmente inseriti dagli incauti clienti sui form verrebbero inviati tramite richieste HTTP POST al server C2. Alcune evidenze dei ricercatori D3Lab e la geolocalizzazione dei siti compromessi indicherebbero una possibile origine russa degli attaccanti.
Di seguito si riporta la successione delle pagine di richiesta testate su thefireplaceacademy[.]com.
Prestare attenzione
Ovviamente tutti gli utenti sono vivamente invitati a prestare sempre la massima attenzione alle proprie attività online verificando sempre la legittima dei siti visitati.
https://urlscan.io/result/a87f1c0c-80a4-4e76-8e25-b7fed75abb3f/
