I ricercatori di Confiant hanno scoperto una sofistica tattica usata dal gruppo CashRewindo per attirare gli utenti verso siti che pubblicizzano falsi investimenti, principalmente in criptovalute. La truffa sfrutta la tecnica del malvertising e vecchi domini “dormienti” che possono aggirare i controlli delle soluzioni di sicurezza. Gli attacchi dei cybercriminali sono stati effettuati in 117 paesi, Italia inclusa.
CashRewindo: vecchi domini per truffe milionarie
La truffa inizia con la pubblicazione di inserzioni pubblicitarie attraverso reti di advertising legittime (malvertising). Sembra tutto normale perché il vero obiettivo dei cybercriminali non si intuisce subito dalle immagini e dal testo delle inserzioni. Tra l’altro i banner sono realizzati in modo professionale con foto e lingue specifiche per ogni paese. Solo cliccando sull’inserzione viene aperto il sito che invita gli utenti ad investire somme di denaro per ottenere grandi profitti.
Un altro trucco utilizzato da CashRewindo è denominato “domain aging“. Gli autori della truffa registrano centinaia di domini (gli esperti di Confiant ne hanno contati quasi 500) che vengono attivati diversi anni dopo, ovvero quando inizia l’attività illecita. Ciò permette di non essere rilevati dai sistemi di sicurezza che valutano l’affidabilità dei siti in base all’età.
Gli attacchi di CashRewindo sono avvenuti soprattutto nei paesi dell’est Europa, ma nel lungo elenco c’è anche l’Italia. Le inserzioni “trappola” sono visualizzate in quasi tutto il mondo. Non è noto quanti utenti sono stati truffati, ma solitamente il bottino è milionario. È fortemente consigliata l’installazione di soluzioni di sicurezza che bloccano l’accesso ai siti sospetti.