Nuova truffa di spoofing che sfrutta il brand Shein per la raccolta di credenziali grazie alla “Mistery box”

Shein è una delle app per lo shopping più popolari al mondo; tuttavia, l'azienda ha dovuto affrontare critiche significative per il suo scarso rispetto dei diritti umani.

Milano, 15/05/2024 (informazione.it - comunicati stampa - internet)

A cura di Jeremy Fuchs, Cybersecurity Researcher/Analyst Check Point Software LTD

 

Shein è una delle app per lo shopping più popolari al mondo. È infatti la seconda app per lo shopping più scaricata a livello globale, con oltre 251 milioni di download.

La piattaforma di e-commerce viene cercata su Google più frequentemente di marchi importanti come Nike e Adidas.

Shein ha guadagnato popolarità per i suoi capi di abbigliamento economici e i prezzi ridotti; tuttavia, l'azienda ha dovuto affrontare critiche significative per il suo scarso rispetto dei diritti umani.

Inoltre, secondo un rapporto del TIME, Shein è stata sfruttata dai criminali informatici in vari modi, tra cui l'uso di false carte regalo su Instagram e siti web contraffatti.

I ricercatori di Harmony Email spiegano come gli hacker stiano impersonando Shein nel tentativo di impossessarsi delle credenziali degli utenti. Nel corso dell'ultimo mese, hanno identificato più di 1.000 di queste e-mail fraudolente.

 

Esempio di email fraudolenta – Mistery box

L'e-mail sostiene di provenire dal servizio clienti Shein e riporta un oggetto allettante: "Verifica ordine SHEIN". Ma un'occhiata più attenta rivela un segnale d’allarme: l'indirizzo e-mail del mittente non corrisponde a quello ufficiale di Shein.

L'e-mail annuncia con entusiasmo che l’utente ha ricevuto una scatola misteriosa da Shein. Tuttavia, il link incluso non vi porterà un regalo a sorpresa, ma vi condurrà a un falso sito web progettato per sottrarre le informazioni personali degli utenti (un sito di raccolta di credenziali).

Questo tipo di tentativo di phishing è piuttosto diffuso. Si fa leva sull'entusiasmo dell'utente sostenendo che ha vinto un premio e utilizza il nome del marchio popolare "Shein" per guadagnare la sua fiducia. Tuttavia, un utente attento può facilmente individuare la truffa: è importante controllare l'indirizzo e-mail del mittente (non dovrebbe essere composto da lettere casuali) e verificare che i link portino a pagine web Shein legittime.

 

Le tecniche

Come in altri tentativi di phishing, i criminali informatici cercano di sfruttare marchi popolari e tendenze del momento per trarre in inganno gli utenti. Questa volta sfruttano il marchio popolare Shein.

Ci sono diversi segnali che indicano che l’e-mail in questione non è legittima. In primo luogo, c'è un forte senso di urgenza che ruota attorno all'offerta della "mystery box", pensata per creare eccitazione e spingere l'utente a cliccare.

 

Un altro indizio? L'indirizzo e-mail stesso è un insieme di lettere casuali, non un indirizzo Shein riconoscibile. Non si troverà nemmeno nessun logo o marchio Shein all’interno dell’e-mail. Infine, il link contenuto nell'e-mail non vi porterà a una pagina web ufficiale di Shein, ma a un sito web fraudolento progettato per sottrarre le vostre informazioni.

 

Nel corso dell’ultimo mese i ricercatori di Check Point hanno assistito a oltre 1.000 attacchi di questo tipo. Per questo le raccomandazioni principali sono:

• Assicurarsi di non cliccare su link provenienti da siti web il cui indirizzo non è quello ufficiale e controllate la fonte dell'e-mail.
• Controllare l'indirizzo del sito web e il nome del mittente per verificare la presenza di errori di ortografia e punteggiatura su siti web che sembrano reali.
• Verificare che l'e-mail sia priva di errori di ortografia. Prestate attenzione alla lingua dell'e-mail: vi aspettate di essere indirizzati in questa lingua dal vostro spedizioniere?