Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Phishing: campagna a tema “Esaurimento spazio cloud” (AL04/260203/CSIRT-ITA)

Data:
3 Febbraio 2026

Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing veicolata tramite email volta a sottrarre i dati delle carte di credito delle potenziali vittime.

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing diffusa tramite email volta a sottrarre i dati delle carte di credito delle potenziali vittime.

La campagna, veicolata tramite mail, informa le potenziali vittime su una imminente cancellazione dei propri dati in cloud. (Figura 1)

Figura 1 – email di phishing
Figura 1 – email di phishing

Il link presente nella mail reindirizza l’utente verso una pagina web opportunamente predisposta, che tramite un popup, avvisa la vittima del superamento del suo “piano di archiviazione”. (Figura 2)

Figura 2 – Landing page - popup
Figura 2 – Landing page – popup

Qualora l’utente proceda nella pagina web, viene mostrato lo spazio utilizzato ed un bottone che invita l’utente ad aggiornare lo spazio prima che i propri file vengano eliminati. (Figura 3)

Figura 3 – Landing page - pagina alert
Figura 3 – Landing page – pagina alert

Se l’utente procede viene reindirizzato ad un’altra pagina dove un popup assicura che il pagamento sarà crittografato, sicuro e protetto da famosi circuiti di pagamento internazionali (Figura 4).

Figura 4 – Landing page - inserimento dati carta
Figura 4 – Landing page – inserimento dati carta

Qualora l’utente proceda, verrà caricato un form dove viene invitato ad inserire i dati della propria carta di credito.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

  • fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
  • verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali;
  • non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
  • accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) 1 forniti nell’apposita sezione.

1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Indicatori di compromissione

Tipologia Indicatore
domain fccgcgxersrsr.nl-ams-1.linodeobjects.com
url https://fccgcgxersrsr.nl-ams-1.linodeobjects.com/fccgcgxersrsr.html#T2tXdFhvYVNKajJiV29zaGY3dFF6SlRWWUxMY2hJT0RGNUlEQ0RiUUtTdE5GWmlKUmFRQW1Qb2RNOWV4U2xWQ0J1Sm5mOG5QS1FKM0NHY2Zhc3B2cVdXdGFVRlNVZkhpcmRFRDF6OFV4c1k9
domain https://trk.single-energy-soil-bar.run
url https://trk.single-energy-soil-bar.run/snwdartf
url https://www.advancedfastguardshield.autos/1jghmdbjd/l?btd=dHJrLmhhcmQtZHJpdmluZy1pbW1lZGlhdGVseS1zbGlkZS5ydW4&cid=oXGxWminMpSfqVf00WooU1kw&exptoken=MTc3MDEyMDUxNjk5OQ%3D%3D&lang=it&lid=ec3b0b84-9216-4976-8c12-3aaac0dc0bfa&ltd=dHJrLnNlbGVjdGlvbi10cnktZWxlY3RyaWMtdHViZS5ydW4&pd2q=YTE9ZWMzYjBiODQtOTIxNi00OTc2LThjMTItM2FhYWMwZGMwYmZhJmEyPTQzMjIyNGI0LWRiZjctNGNkZC05YTQzLWM4MzE3ODI3MGQ4ZCZhMz0xMTY4&r_lang=it&td=dHJrLnNpbmdsZS1lbmVyZ3ktc29pbC1iYXIucnVuL3Nud2RhcnRm&lvc=2810171f
url https://www.downloadboost.autos/1jghmjk7m/l?btd=dHJrLmhhcmQtZHJpdmluZy1pbW1lZGlhdGVseS1zbGlkZS5ydW4&exptoken=MTc3MDEyMDcyMjUzNg%3D%3D&lang=it&lid=b6b72b43-b6dd-4d97-9722-707a0069ede2&ltd=dHJrLmZ1cnRoZXItY2hvb3NlLWZhdC1hZGRpdGlvbi5ydW4&pd2q=YTE9YjZiNzJiNDMtYjZkZC00ZDk3LTk3MjItNzA3YTAwNjllZGUyJmEyPWM3NGY3OTEyLTI5MWQtNDFmYy1iOTE1LWZlMzUyNWZlMDYxNiZhMz0&r_device=desktop&r_okeyword=tt&td=dHJrLmxvY2FsLWVhc3ktc21vb3RoLWZhdGhlci5ydW4vc253ZGFydGY&lvc=d69f2f47
url https://www.freespeedsuperior.autos/1jghminrd/l?btd=dHJrLmhhcmQtZHJpdmluZy1pbW1lZGlhdGVseS1zbGlkZS5ydW4&exptoken=MTc3MDEyMDY5MzU2Nw%3D%3D&lang=it&lid=b6b72b43-b6dd-4d97-9722-707a0069ede2&ltd=dHJrLmxvY2FsLWVhc3ktc21vb3RoLWZhdGhlci5ydW4&pd2q=YTE9YjZiNzJiNDMtYjZkZC00ZDk3LTk3MjItNzA3YTAwNjllZGUyJmEyPTczOWIyZWJmLWM1YjItNDY0NC05OTQwLTdkZTI2ZjE4NTE2YiZhMz0&r_device=desktop&r_okeyword=tt&td=dHJrLnNlbGVjdGlvbi10cnktZWxlY3RyaWMtdHViZS5ydW4vc253ZGFydGY&lvc=d69f2f47
domain www.advancedfastguardshield.autos
domain www.downloadboost.autos
domain www.freespeedsuperior.autos

Change log

Versione Note Data
1.0 Pubblicato il 03-02-2026 03/02/2026

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

3 Febbraio 2026, 16:46