CSIRT Toscana Phishing: campagna a tema “Sondaggio Decathlon” (AL01/250708/CSIRT-ITA)
Data:
8 Luglio 2025 11:57
Sintesi
Questo CSIRT ha recentemente rilevato il riacutizzarsi di campagne di phishing a tema “sondaggio” – già trattate da questo CSIRT nell’ambito dell’ AL01/241213/CSIRT-ITA – volte a carpire le informazioni personali delle potenziali vittime, compresi gli estremi delle carte bancarie.
Descrizione e potenziali impatti
Questo CSIRT ha recentemente rilevato il riacutizzarsi di campagne di phishing a tema “sondaggio” – già trattate da questo CSIRT nell’ambito dell’ AL01/241213/CSIRT-ITA – volte a carpire le informazioni personali delle potenziali vittime, compresi gli estremi delle carte bancarie.
Figura 1 – E-mail di phishing
Nel dettaglio, l’e-mail (Figura 1) pubblicizza la possibilità di ottenere gratuitamente un “Pacchetto Escursionismo Quechua”, partecipando a un sondaggio apparentemente legittimo contenente domande relative ai servizi forniti da Decathlon (Figura 2).
Al termine del sondaggio, viene proposta alla vittima una schermata che informa l’utenza dell’effettiva disponibilità del premio, con un link per poter riscuotere la presunta vincita (Figura 3).
Figura 3 – Reclamo vincita
Qualora dato seguito a tale link, viene mostrata un’ulteriore finestra con i successivi passaggi da compiere (Figura 4) e successivamente viene chiesto all’utente di inserire i propri dati personali (Figura 5), inclusi gli estremi della carta bancaria (Figura 6) al fine di addebitare una commissione di 1,95€ per ricevere il presunto premio.
Azioni di mitigazione
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
- verificare il dominio delle e-mail ricevute: eventuali mail legittime provengono dai domini ufficiali, nel caso in esame @email.decathlon.it;
- non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa: eventuali sondaggi legittimi – oltre ad essere sponsorizzati anche tramite canali social – dovrebbero portare l’utenza verso il sito ufficiale dell’organizzazione promotrice;
- accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati personali: organizzazioni legittime non richiedono l’inserimento di dati sensibili, come i dati delle carte bancarie, tramite sondaggi.
Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) [1] forniti in allegato.
[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.
Indicatori di compromissione
| Tipologia | Indicatore |
|---|---|
| email-src | a0979031177@gmail.com |
| url | https://ragnboness.shop/?sub5=27822&source_id=1617&encoded_value=279768Q&sub1=33e0af13c6934ccca69c013025af6c50&sub2=&sub3=&sub4=&sub5=27822&source_id=1617&domain=www.airnue.com&ip=93.62.102.132 |
| url | https://wrfzhyfcy.blob.core.windows.net/wrfzhyfcy/wrfzhyfcy.html#cl/36115_sd/60/4666124/1877/163/95067 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 08-07-2025 | 08/07/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link