Nelle sue quotidiane attività di analisi e contrasto alle frodi online, il Threat Intelligence Team di D3Lab ha rilevato la diffusione di una campagna di phishing ai danni di IP Gruppo API.

Italiana Petroli S.p.A, conosciuta come IP Gruppo API è la prima azienda privata italiana nel settore dei carburanti e dei servizi alla mobilità con oltre 4600 distributori a marchio IP diffusi in tutto il paese.

La campagna di phishing inizia con l’invio di un’email fraudolenta, creata attraverso la registrazione del dominio ad hoc gruppoapi[.]org. In questa comunicazione, agli utenti viene richiesto di verificare il proprio account a causa di un presunto aggiornamento delle polizze di sicurezza, al fine di poter continuare a utilizzare i servizi IP Plus che includono l’acquisto di carburante, lubrificanti e AdBlue, sia in formato confezionato che da erogatore

Cliccando sul link presente nell’email, gli utenti vengono reindirizzati a una pagina clone, creata tramite la registrazione di un dominio fraudolento gruppoapi[.]net, che appare identica a quello legittimo. In questa pagina viene chiesto di inserire le proprie credenziali, ovvero Nome Utente e Password.

La pagina fraudolenta è esteticamente identica a quella ufficiale, che ricordiamo essere https://ipplusonline.gruppoapi.com/login/.

Tuttavia ci sono alcune differenze da notare:

• Nel portale legittimo, il logo del Gruppo API è visibile in basso a destra, mentre nella pagina clone questo è assente
• Nella pagina clone mancano le frecce situate a sinistra dei pulsanti “Accedi” e “Assistenza Cliente”

Una volta ottenuti questi dati, il criminale potrà accedere ai servizi offerti
Una volta inserite le proprie credenziali, il clone continuerà a chiedere continuamente l’inserimento dei propri dati mostrano un messaggio di errore

A conferma di quanto esposto finora, i dati WHOIS relativi ai domini in questione indicano che sono stati registrati di recente tramite il provider Hostinger.com, il che solleva già qualche interrogativo sulla loro legittimità.

Come di consueto, invitiamo tutti gli utenti a prestare la massima attenzione. È fondamentale non cliccare su link sospetti ricevuti via SMS o e-mail e non divulgare mai le proprie informazioni sensibili (come username, password, indirizzo e-mail, telefono, etc.)