Nuova Campagna di Phishing ai danni di Trenitalia

Nella giornata odierna, durante le consuete attività di monitoraggio e contrasto alle frodi online, il Threat Intelligence Team di D3Lab ha rilevato la prima campagna di phishing dell’anno ai danni di Trenitalia.

Trenitalia S.p.A, è un’azienda pubblica partecipata dal 100% da Ferrovie dello Stato Italiane ed è la principale società italiana per la gestione del trasporto ferroviario passeggeri.

Già in passato, abbiamo affrontato un caso di phishing mirato ai danni di Trenitalia S.p.A. In quell’occasione, l’attacco consisteva in un falso portale di prenotazione dei biglietti, progettato per rubare i dati personali delle vittime.

Ora i malintenzionati hanno cambiato strategia.

Metodica della Campagna

La campagna viene veicolata tramite l’invio di una email fraudolenta che fa leva su un presunto pagamento non andato a buon fine per un presunto viaggio effettuato dalla vittima.

Gentile Cliente,Il pagamento dell’ultimo viaggio di 19,99€ non è andato a buon fine e non abbiamo potuto addebitare la tua carta a causa di fondi insufficienti.Ti preghiamo di completare il pagamento adesso per evitare ritardi nella prenotazione del tuo prossimo viaggio e possibili pagamenti tardivi delle tariffe.Tieni presente che se il pagamento non viene ricevuto, ciò potrebbe portare all’emissione di un ordine di responsabilità nei tuoi confronti e verranno sostenuti ulteriori costi. Grazie per la tempestiva attenzione. Trenitalia

Cliccando sul link contenuto nell’email, gli utenti vengono indirizzati a una pagina clone, appositamente creata per ingannare le potenziali vittime, facendole credere di trovarsi sul portale ufficiale di Trenitalia per il pagamento delle sanzioni, che ricordiamo invece essere https://www.trenitaliatper.it/s/irregolarita-di-viaggio, con l’intento di indurle a effettuare il pagamento della multa.

In questo modo, i truffatori possono appropriarsi dei dati sensibili delle vittime.

Il Clone infatti richiede l’inserimento di :

  • Nome e Cognome
  • Dati della Carta di credito ( numero, scadenza e cvv)
  • Indirizzo email
  • Codice OTP di conferma

Come di consueto, invitiamo tutti gli utenti a prestare la massima attenzione. È fondamentale non cliccare su link sospetti ricevuti via SMS o e-mail e non divulgare mai le proprie informazioni sensibili (come username, password, indirizzo e-mail, telefono, etc.)

IoC

  • hxxps://tiny[.]pl/zh8bkb6r
  • hxxps://srv224420[.]hoster-test[.]ru/Tiraminsu/