Il phishing Aruba è una di quelle truffe che ogni tanto torna a bussare alla porta, come certi venditori insistenti che non capiscono il concetto di “no, grazie”. Cambia qualche dettaglio, cambia il dominio usato per la trappola, cambia magari il testo dell’email, ma il copione è sempre lo stesso: finto avviso urgente, dominio in scadenza, pulsante “Area Clienti” e speranza che qualcuno clicchi senza guardare.
Anche in questo caso l’email si presenta come un presunto avviso di scadenza del dominio. Il messaggio usa il logo Aruba, un’impaginazione apparentemente ordinata e un tono formale, così da sembrare una comunicazione legittima. Peccato che basti controllare due dettagli per capire che siamo davanti all’ennesimo tentativo di phishing, non certo a un avviso ufficiale.
Phishing Aruba: una truffa già vista, rivista e pure riciclata
Questa non è una novità assoluta. Le false email di rinnovo dominio, soprattutto con marchi molto conosciuti come Aruba, circolano da anni. Il motivo è semplice: funzionano.
Un dominio in scadenza mette ansia.
La posta collegata al dominio può smettere di funzionare.
Il sito può diventare irraggiungibile.
L’utente legge “rinnova subito” e, se è distratto, clicca.
Ed è proprio lì che il truffatore aspetta, con la pazienza di chi sa che prima o poi qualcuno abbocca.
Il mittente non torna
Il primo segnale sospetto è il mittente:
staff-comunicazioni <mail@iragreen.it>
Già qui dovrebbe accendersi una bella lampadina rossa. Una comunicazione che finge di arrivare da Aruba non dovrebbe provenire da un dominio completamente diverso e scollegato dal servizio.
Il nome visualizzato può essere falsificato facilmente. Il dominio dell’indirizzo email, invece, va sempre controllato. Se il nome dice “Aruba” ma l’indirizzo racconta tutt’altra storia, siamo già nel territorio delle truffe con il vestito buono.
Il pulsante “Area Clienti” porta altrove
Il secondo segnale, ancora più evidente, è il link nascosto dietro al pulsante “Area Clienti”.
Nel caso analizzato, il collegamento non porta ad Aruba, ma a:
redstaffarbit[.]adiaelorarothschild[.]com
Questo basta e avanza.
Non è un sito Aruba.
Non è un dominio Aruba.
Non è un’area clienti ufficiale.
È semplicemente il classico link costruito per intercettare utenti distratti.
Il logo e la grafica servono solo a creare fiducia. Il link, invece, rivela la truffa.
La tecnica: spaventare, mettere fretta, far cliccare
Il phishing vive di urgenza. Il messaggio non vuole informare: vuole far reagire.
L’email parla di dominio in scadenza, possibile interruzione dei servizi, posta elettronica non più funzionante e rischio di perdita del dominio. Tutto confezionato per ottenere una sola cosa: un clic veloce.
Il truffatore non vuole che l’utente apra il browser, digiti manualmente l’indirizzo ufficiale e controlli dal pannello clienti. Vuole che prema quel pulsante. Subito. Senza pensare.
È una tecnica vecchia, ma ancora efficace. Evidentemente, nel mondo digitale, la fretta resta il miglior amico dei truffatori.
Cosa non bisogna fare
Davanti a una email del genere, la cosa più importante è non farsi prendere dal panico.
Non bisogna cliccare sul pulsante.
Non bisogna inserire username e password.
Non bisogna inserire dati della carta.
Non bisogna scaricare eventuali allegati.
Non bisogna rispondere all’email.
La procedura corretta è molto più semplice: si apre il browser, si digita manualmente l’indirizzo ufficiale del provider e si controlla dal pannello clienti reale se ci sono davvero scadenze o rinnovi da gestire.
Tutto il resto è roulette russa con le proprie credenziali.
Se qualcuno ha già cliccato
Se il link è stato aperto ma non è stato inserito nulla, il rischio può essere limitato, ma è comunque meglio chiudere la pagina e non proseguire.
Se invece sono state inserite credenziali, password o dati di pagamento, bisogna agire subito:
cambiare immediatamente la password dell’account coinvolto;
verificare accessi sospetti;
controllare eventuali pagamenti non autorizzati;
contattare la banca se sono stati inseriti dati della carta;
avvisare il provider tramite i canali ufficiali.
In questi casi aspettare “per vedere se succede qualcosa” è una pessima strategia. Succede spesso qualcosa proprio perché si è aspettato troppo.
Come riconoscere queste email al volo
Le false email di rinnovo dominio hanno quasi sempre gli stessi ingredienti:
mittente non coerente con il servizio;
link che porta a un dominio esterno;
tono urgente o minaccioso;
richiesta di accesso immediato;
grafica copiata da un marchio conosciuto;
pulsanti grandi e invitanti;
testo pensato per creare ansia.
Nel caso specifico, l’email usa una grafica che richiama Aruba, ma il mittente e il link non hanno nulla a che vedere con il servizio che fingono di rappresentare. Questo è sufficiente per classificarla come phishing.
Conclusione
La finta email Aruba per il rinnovo del dominio è l’ennesima dimostrazione che il phishing non ha bisogno di essere geniale. Gli basta essere abbastanza credibile da superare quei dieci secondi di distrazione in cui molti utenti cliccano prima di controllare.
La regola resta sempre la stessa: quando arriva una comunicazione urgente su domini, hosting, posta o pagamenti, non si clicca dal messaggio. Si entra dal sito ufficiale, digitato manualmente o salvato nei preferiti.
Perché il phishing cambia maschera, ma il trucco è sempre quello.
E purtroppo, finché qualcuno continuerà a cascarci, continueranno anche a riproporlo.