Bitdefender Antispam Lab ha scoperto tre campagne di phishing che hanno avuto come attore principale il famoso spedizioniere DHL. La campagna aveva come obiettivo, come sempre del resto, di impossessarsi delle credenziali di accesso dei clienti per rubare i dati delle loro carte di credito.
La campagna di phishing è stata orchestrata molto bene: infatti la maggior parte delle false email avevano il logo e il layout di DHL, in modo da sembrare che fosse stata proprio la società di spedizione ad aver effettuato gli invii.
Gli attacchi provengono da indirizzi IP in Portogallo (95%) e Brasile (4,6%) e si sono diffusi negli Stati Uniti, in Europa e in Asia. In particolare, il 53% delle email fraudolente ha raggiunto gli utenti negli Stati Uniti, il 15% in Corea del Sud, il 9% nel Regno Unito, il 5% in Giappone, il 3% in India, il 2% in Germania e l’1% in Francia, Svizzera e Paesi Bassi.
Anche l’Italia è stata colpita, ma per la nostra nazione gli hacker hanno scelto una strada diversa rispetto al resto del mondo: le mail arrivate hanno cercato di far credere agli utenti che non era possibile consegnare il pacco DHL a causa di informazioni incomplete. In questo caso, gli hacker hanno utilizzato un indirizzo IP del Bangladesh per diffondere circa mille email dannose. La pagina di phishing non è più in uso, ma si può supporre che l’obiettivo fosse quello di raccogliere ulteriori informazioni personali delle persone prese di mira.
Bitdefender Antispam Lab, ecco come gli hacker hanno “impersonato” DHL per rubare informazioni
A parte l’Italia gli hacker hanno lanciato un attacco di phishing per ottenere le password dell’email delle vittime. L’allegato HTML indirizzava ad una falsa pagina web che chiedeva agli utenti di inserire la password. La schermata di accesso è già precompilata con l’email della vittima, come si può notare nell’immagine sotto.
Un’altra versione utilizzata per la campagna, scovata dal Bitdefender Antispam Lab avvisava le vittime che il loro pacco non poteva essere consegnato a causa di una tassa doganale non pagata di 2,99 euro. Il 95% delle email sono state inviate dal Giappone e prendono di mira gli utenti in Svizzera, Stati Uniti, Regno Unito e Germania.
L’email sollecita i destinatari a fare clic su un link per confermare la spedizione del pacco. Quando vi si accede, una falsa pagina di DHL relativa al tracking della spedizione richiede ai clienti di pagare la tassa di spedizione inserendo il loro nome, il numero di carta di credito, la data di scadenza e il codice di verifica (CVV). La valuta del pagamento cambia a seconda dell’IP della vittima.
Secondo la pagina web dedicata alla consapevolezza delle frodi di DHL, la corrispondenza ufficiale dell’azienda viene sempre inviata utilizzando indirizzi email che hanno come dominio @dhl.com, @dpdhl.com, @dhl.de, @dhl.it, o un altro dominio relativo alla nazione corrispondente dopo @dhl.