Phishing Amazon veicolato tramite dominio ufficiale amazon.it!

Nella nostra Spam Trap nel week end appena passato abbiamo ricevuto una eMail con mittente “Amazon.it” e oggetto “Per favore rivedi il tuo caso 1989…”, dati gli evidenti errori nel corpo dell’eMail abbiamo inizialmente pensato ad una nuova campagna di Phishing finché non siamo arrivati al collegamento ipertestuale che riporta “https://www.amazon.it/…” come potete notare dal seguente screenshot del codice sorgente.

Una eMail con evidenti errori di battitura ma con un solo collegamento al dominio ufficiale di Amazon. È phishing o è legittima?!  🤔

Ecco questa è stato il nostro dubbio iniziale, poi è bastata analizzarla per capire che si trattava realmente di una eMail di Phishing veicolata attraverso il dominio ufficiale amazon.it!

I Phisher hanno sfruttato il servizio di Amazon Cloud Drive per diffondere un file HTML (amazon (2018-08-24T12_28_44.664).html), la vittima è invitata a scaricare tale file e successivamente ad aprirlo. Aprendo tale file con il Browser vedremo la pagina di Phishing che verrà caricata sfruttando risorse esterne ospitate su un dominio compromesso (366-news[.]com).

La vittima visualizzerà inizialmente una lettera in cui viene dettagliato il problema del pagamento nell’ultimo ordine e la procedura da effettuare per completare il pagamento, successivamente verranno richieste le credenziali Amazon, i dati della carta di credito ed infine una foto del proprio documento, un selfie e una foto della carte di credito.

Come di consueto invitiamo sempre gli utenti a prestare la massima attenzione.