Bitdefender Antispam Lab ha recentemente scoperto tre campagne di phishing che hanno impersonato la società di spedizione DHL nel tentativo di impossessarsi delle credenziali di accesso dei clienti internazionali per rubare i dati delle loro carte di credito.
La maggior parte delle false email avevano il logo e il layout di DHL, in modo da sembrare che fosse stata proprio la società di spedizione ad aver effettuato gli invii.
In particolare, la versione inglese dell’email di phishing imita un normale messaggio DHL e invita il destinatario a scaricare un allegato per visualizzare e stampare una ricevuta per un pacco in arrivo.
Gli attacchi provengono da indirizzi IP in Portogallo (95%) e Brasile (4,6%) e si sono diffusi negli Stati Uniti, in Europa e in Asia. In particolare, il 53% delle email fraudolente ha raggiunto gli utenti negli Stati Uniti, il 15% in Corea del Sud, il 9% nel Regno Unito, il 5% in Giappone, il 3% in India, il 2% in Germania e l’1% in Francia, Svizzera e Paesi Bassi.
In questo caso, gli hacker hanno lanciato un attacco di phishing per ottenere le password dell’email delle vittime. L’allegato HTML indirizza ad una falsa pagina web che chiede agli utenti di inserire la password. La schermata di accesso è già precompilata con l’email della vittima, come viene evidenziato qui sotto.
Invece, la versione tedesca avvisa le vittime che il loro pacco non può essere consegnato a causa di una tassa doganale non pagata di 2,99 euro. Il 95% delle email provengono dal Giappone e prendono di mira gli utenti in Svizzera, Stati Uniti, Regno Unito e Germania.
L’email sollecita i destinatari a fare clic su un link per confermare la spedizione del pacco. Quando vi si accede, una falsa pagina di DHL relativa al tracking della spedizione richiede ai clienti di pagare la tassa di spedizione inserendo il loro nome, il numero di carta di credito, la data di scadenza e il codice di verifica (CVV). La valuta del pagamento cambia a seconda dell’IP della vittima.
Con questo particolare tentativo, gli hacker si affidano al social engineering per indurre in tentazione le vittime a fare clic sui link affinché forniscano informazioni sensibili, come i dati della loro carta di credito.
I destinatari ricevono informazioni aggiuntive e indicazioni. Gli utenti vengono avvisati che riceveranno anche un messaggio o un’email quando il pacco è in arrivo all’indirizzo di recapito segnalato, la fascia temporale in cui possono ritirare il pacco e un link per tracciare la spedizione.
In Italia, la campagna di phishing cerca invece di far credere agli utenti che non sia possibile consegnare il pacco DHL a causa di informazioni incomplete. In questo caso, gli hacker hanno utilizzato un indirizzo IP del Bangladesh per diffondere circa mille email dannose. La pagina di phishing non è più in uso, ma si può supporre che l’obiettivo fosse quello di raccogliere ulteriori informazioni personali delle persone prese di mira.
I messaggi da parte di società di spedizioni come FedEx e DHL catturano facilmente l’attenzione dei destinatari. Non è una sorpresa che gli hacker continuino ad impersonare questi noti marchi di società di spedizioni per diffondere email fraudolente o dannose.
Secondo la pagina web dedicata alla consapevolezza delle frodi di DHL, la corrispondenza ufficiale dell’azienda viene sempre inviata utilizzando indirizzi email che hanno come dominio @dhl.com, @dpdhl.com, @dhl.de, @dhl.it, o un altro dominio relativo alla nazione corrispondente dopo @dhl.
I clienti che ricevono un’email sospetta dovrebbero segnalarla a: phishing-dpdhl@dhl.com. Dopo aver inviato o inoltrato il messaggio, occorre assicurarsi di aver cancellato l’email. Non tentare di rispondere al mittente, aprire gli allegati o cliccare su qualsiasi link. Se sono state fornite password o informazioni di identificazione personale, assicurarsi di reimpostare immediatamente le proprie credenziali di accesso per tutti gli account online utilizzando la stessa password e la stessa combinazione di email, e informare la propria banca.