Mimecast Logo
Richiedi un preventivo

    Truffe di sextortion che utilizzano servizi di fatturazione e contabilità per la diffusione

    14 luglio 2025

    A cura del Mimecast Threat Research Team

    Punti principali
    • Truffe di sextortion diffuse tramite servizi di fatturazione e contabilità online
    • Sono state individuate campagne simili che utilizzano lo stesso indirizzo Bitcoin per i pagamenti
    • Tecniche di elusione utilizzate per aggirare le soluzioni di sicurezza
    • Rivolto prevalentemente alle imprese statunitensi e australiane

    Il team di ricerca sulle minacce di Mimecast ha individuato una nuova campagna di truffa basata sulla sextortion che sfrutta servizi di fatturazione legittimi per diffondere e-mail dannose. Queste campagne, avviate nel giugno 2025, utilizzano tecniche di elusione per aggirare le soluzioni di sicurezza e prendono di mira destinatari ignari. Tali campagne si distinguono per l’utilizzo di servizi legittimi al fine di conferire credibilità alle loro intenzioni malevole.

    Dettagli della campagna

    Sono state individuate recenti campagne di phishing che utilizzano Eslip, Snap Invoicing e Loyverse come canali di diffusione. Queste piattaforme, che forniscono servizi di fatturazione e gestione dei pagamenti, vengono utilizzate per facilitare truffe automatizzate. Tali campagne sfruttano le funzionalità di servizi di fatturazione consolidati, consentendo agli autori degli attacchi di inviare notifiche via e-mail fraudolente che sembrano autentiche. Questa strategia non solo rafforza la credibilità delle truffe, ma aumenta anche la probabilità che gli utenti interagiscano con esse.

    Sono state individuate tre campagne simili, che utilizzano entrambe lo stesso indirizzo di portafoglio Bitcoin sia per il pagamento che come indirizzo di risposta e-mail, il che indica un’azione coordinata. Le e-mail sostengono di essere in possesso di materiale compromettente sul destinatario e richiedono un pagamento in Bitcoin per impedire la diffusione di tale materiale. Vengono utilizzati anche altri dati personali, quali la data di nascita o la password del destinatario, al fine di conferire maggiore credibilità al messaggio e suscitare panico. Ciò indica che le informazioni del destinatario sono state oggetto di una violazione dei dati e illustra come questo tipo di dati possa essere sfruttato per sferrare ulteriori attacchi.

    Tecniche di evasione

    Per aggirare le soluzioni di sicurezza, gli autori degli attacchi ricorrono ai seguenti metodi:

    - Suddividere l'indirizzo Bitcoin in due parti all'interno dell'e-mail per evitare di essere individuati dagli scanner automatici.

    - Pubblicazione di ulteriori dettagli relativi all’estorsione, compreso l’indirizzo Bitcoin, su un sito di hosting esterno (catbox.moe). Ciò garantisce che i dati sensibili non vengano inseriti direttamente nel corpo dell'e-mail, eludendo ulteriormente il rilevamento.

    sextortion-scam-image-1.png sextortion-scam-image-2.png

    Le recenti campagne evidenziano un cambiamento strategico da parte degli autori delle minacce, che tendono ora a sfruttare i servizi di notifica online legittimi come vettori di diffusione. Questa tattica sfrutta la fiducia intrinseca che gli utenti ripongono nelle piattaforme più note per aggirare le difese perimetrali ed eludere i controlli di sicurezza standard. Lo sfruttamento di questi servizi affidabili non solo aumenta la probabilità di interazione da parte degli utenti, ma riduce anche le possibilità di individuazione, rappresentando un rischio maggiore per gli ambienti aziendali. Questi sviluppi rafforzano la necessità di strategie di rilevamento adattive che tengano conto dell’uso improprio di infrastrutture legittime.

    Protezione Mimecast

    Mimecast ha implementato funzionalità di rilevamento volte a identificare e bloccare le e-mail associate a questa campagna. Continuiamo a monitorare i cambiamenti nelle tattiche e nelle tecniche utilizzate dagli autori delle minacce per garantire che i nostri clienti rimangano protetti.

    Obiettivi:

    Organizzazioni prevalentemente statunitensi e australiane operanti in vari settori

    del CIO

    Invio di indirizzi e-mail

    mailer@snapinvoicing[.]com

    help@loyverse[.]com

    Indirizzo di risposta

    contact@enrolledagent[.]com

    Argomenti

    [nome] – Ci pensiamo noi! [nome] – È necessario intervenire immediatamente Numero di preventivo [numero a sei cifre] di BlackEye per [nome]

    Portafoglio Bitcoin

    1AiSyds8XSXEVCs4QWhdpsbikCEiLfpWLY

    Raccomandazioni

    • Formazione sulla consapevolezza della sicurezza degli utenti
      • Informare gli utenti sulle ultime tecniche di adescamento utilizzate in queste campagne
      • Effettuate regolarmente simulazioni di phishing che includano le minacce più recenti
    Back to Top