Campagna fraudolenta nel Regno Unito: un sondaggio sui consumatori si spaccia per grandi marchi del commercio al dettaglio
16 aprile 2026
Di Samantha Clarke, Archa Archa, Hiwot Mendahun e il team di ricerca sulle minacce di Mimecast
- Negli ultimi 90 giorni è stata registrata una campagna di phishing multimarca che ha coinvolto oltre 42.000 consumatori britannici, con truffe che si spacciavano per Boots e Superdrug
- La promessa di omaggi o premi in cambio della compilazione di falsi sondaggi sulla soddisfazione dei clienti
- Raccolta di informazioni personali dettagliate e dei dati delle carte di pagamento ai fini di una commissione di spedizione fraudolenta di 2,95 sterline per il sito ""
- Infrastruttura di phishing ospitata su bucket AWS S3, che sfrutta domini compromessi come pagine di destinazione
- I siti web clonati di marchi legittimi aumentano la fiducia delle vittime e il tasso di invio delle credenziali
Panoramica della campagna
Il team di ricerca sulle minacce di Mimecast ha individuato una serie di campagne di phishing rivolte ai consumatori del Regno Unito, che utilizzano truffe in cui si fingono noti marchi al dettaglio e fornitori di servizi. Le campagne ricorrono a tattiche di ingegneria sociale che promettono omaggi, premi esclusivi o interventi urgenti sull’account per indurre i destinatari a fornire informazioni personali e dati di pagamento.
A differenza delle campagne di phishing tradizionali, che si basano in gran parte sul furto di credenziali, queste operazioni combinano diverse fasi di raccolta dati: in primo luogo, l’acquisizione di dati personali tramite sondaggi fasulli, per poi ottenere le informazioni di pagamento con il pretesto di spese di spedizione o di elaborazione simboliche. La commissione di spedizione di 2,95 sterline per il servizio “ "” (" ) rappresenta un importo calcolato con cura: sufficientemente basso da non destare sospetti immediati, ma abbastanza consistente da consentire la verifica della validità dei dati delle carte di pagamento rubate in vista di un futuro utilizzo fraudolento.
Flusso di attacco e infrastruttura tecnica
Le campagne seguono uno schema di attacco coerente articolato in più fasi:
- Contatto iniziale: i destinatari ricevono e-mail con oggetti urgenti o allettanti che fanno riferimento ad aggiornamenti sull’account, problemi di consegna o premi esclusivi
- Consegna della pagina di destinazione: gli URL indirizzano le vittime verso pagine di phishing inizialmente ospitate su bucket AWS S3, per poi reindirizzarle verso domini compromessi o controllati dagli autori dell'attacco
- Falsificazione del marchio: le pagine di destinazione presentano cloni quasi perfetti, al pixel, dei siti web ufficiali dei marchi, compresi loghi, stile e layout autentici
- Partecipazione ai sondaggi: le vittime compilano falsi sondaggi sulla soddisfazione dei clienti in cui viene chiesto loro di esprimere un parere su prodotti o servizi
- Scelta del premio: una volta completato il sondaggio, le vittime possono scegliere tra diverse opzioni di premio disponibili su "e" (in genere prodotti per la cura della pelle, buoni regalo o articoli promozionali)
- Raccolta dei dati personali: il primo modulo richiede il nome completo, l'indirizzo postale, il numero di telefono e l'indirizzo e-mail
- Raccolta dei dati di pagamento: il secondo modulo raccoglie i dati completi della carta di pagamento (numero della carta, data di scadenza, CVV) relativi alla tariffa di spedizione di 2,95 £ per il servizio “ "”"
- Reindirizzamento a un sito legittimo: dopo l’invio dei dati, le vittime vengono reindirizzate al sito web ufficiale del marchio, creando l’illusione di una transazione legittima
Caso di studio: la truffa del sondaggio di Boots UK
I destinatari della campagna di phishing "Boots" ricevono un'e-mail che presenta uno dei due temi principali, pensati per conferire un'apparenza di legittimità e suscitare interesse.
- Notifica relativa a un omaggio a seguito di un sondaggio: alcune e-mail sostengono che il destinatario abbia recentemente completato un sondaggio sulla soddisfazione dei clienti e sia stato selezionato per ricevere un omaggio come ringraziamento per la sua partecipazione.
- Richiesta di compilazione di un sondaggio post-acquisto: le e-mail fanno riferimento a un recente acquisto effettuato presso Boots e invitano il destinatario a compilare un breve sondaggio sulla soddisfazione del cliente, promettendo un omaggio al termine della compilazione.
Entrambi gli approcci si avvalgono dei normali modelli di coinvolgimento dei clienti al dettaglio. I consumatori sono abituati a ricevere richieste di feedback post-acquisto e comunicazioni relative ai programmi fedeltà da parte dei rivenditori, il che rende queste strategie di fidelizzazione particolarmente efficaci. La promessa di un omaggio costituisce un incentivo al coinvolgimento, mentre il riferimento ad attività recenti (sia esse inventate o basate su informazioni relative a violazioni dei dati) conferisce credibilità al messaggio.
L'analisi della campagna di spoofing ai danni di Boots rivela un'implementazione tecnica sofisticata. La pagina di phishing, inizialmente ospitata su un bucket di archiviazione AWS S3, reindirizza a un dominio compromesso.
La pagina di destinazione si presenta come una copia di 1,4 MB della homepage ufficiale di Boots.com e contiene 19.549 righe di codice HTML che riproducono l'aspetto grafico del sito autentico.
L'elemento dannoso principale è una finestra modale sovrapposta che si presenta come un banner di OneTrust per il consenso ai cookie. Una finestra di dialogo sulla privacy autentica, ben nota agli utenti di Internet del Regno Unito. La finestra modale visualizza il seguente messaggio: "Lei è stato selezionato per partecipare al nostro sondaggio sulla soddisfazione dei clienti. Apprezziamo moltissimo il vostro feedback e, come segno di ringraziamento, abbiamo un regalo speciale per voi: un set composto da 5 dei nostri prodotti per la cura della pelle più venduti, offerti dal nostro sponsor, Skinny Tan."
Questo approccio sfrutta la familiarità degli utenti con i banner sulla privacy, creando al contempo un senso di urgenza riguardo a premi esclusivi. Il pulsante “Avvia sondaggio” (Start survey)" dell’ "—che presenta lo stesso aspetto di un pulsante di accettazione del consenso autentico di Boots—invia una richiesta POST allo script PHP che avvia la sequenza di raccolta delle credenziali.
All'utente vengono poste alcune domande che simulano un sondaggio, dopodiché viene reindirizzato a una pagina in cui dovrà scegliere tra una selezione di omaggi.
Una volta selezionato il regalo, viene visualizzato un modulo in cui vengono richiesti dati personali quali nome, indirizzo e-mail/indirizzo postale e data di nascita.
Nell'ultima pagina viene quindi richiesto all'utente un piccolo pagamento di 2,95 sterline per la consegna del regalo. Una volta effettuato il pagamento, l'utente viene reindirizzato al sito web ufficiale di Boots.
Variazioni delle campagne e espansione geografica
Sebbene l’attenzione sia rivolta principalmente ai consumatori del Regno Unito, i dati indicano che gli autori delle minacce stanno espandendo le proprie operazioni e prendendo di mira vittime a livello internazionale:
Le campagne relative alle licenze televisive sfruttano i requisiti normativi specifici del Regno Unito in materia di possesso di apparecchi televisivi, creando un senso di urgenza riguardo agli aggiornamenti di fatturazione e alla verifica dei dati di pagamento. L'esca coincide con i periodi effettivi di rinnovo della licenza televisiva, aumentando così la vulnerabilità delle vittime.
Le truffe relative alle consegne EVRi sfruttano le aspettative post-pandemia legate alla frequenza delle consegne di pacchi e alle notifiche di mancata consegna. Tali campagne richiedono dati personali e dettagli di pagamento per "riprogrammare" consegne inesistenti.
L'espansione internazionale comprende campagne che si spacciano per Costco (rivolte a diversi paesi) e Shoppers Drug Mart (rivolte al Canada), il che suggerisce o un'espansione geografica da parte dello stesso autore della minaccia oppure il riutilizzo dello stesso kit di strumenti da parte di operazioni affiliate.
Indicatori di compromissione (IOC)
Campagna pubblicitaria di Boots UK
Esempi di oggetti delle e-mail:
- Stivali: regalo all’interno – Condividete le vostre opinioni! N. 748893
- Ci dica cosa ne pensa & Approfitta dei vantaggi Boots!
- La sua opinione è importante: partecipi oggi stesso al sondaggio di Boots! N. 314121
- Boots Rewards: richieda oggi stesso il suo regalo nell’ambito della promozion &! N. 225678
- Stivali™ Partecipi al nostro sondaggio e riceva un omaggio di ringraziamento! N. 210751
URL di phishing:
- hxxps://s3.amazonaws[.]com/customerinformationgateway/cvgr.html
- hxxps://s3.amazonaws[.]com/customerfreeproduct/bootssurveyonline.html
- hxxps://matakesiri.s3.dualstack.us-east-1.amazonaws[.]com/5.html
- hxxps://s3.amazonaws[.]com/accessgateway/jhadsuc.html
- hxxps://s3.amazonaws[.]com/bahsduhyc/getyourfreebootsgift.html
- hxxps://s3.amazonaws[.]com/recivefreegift/freesurvey.html
- hxxps://s3.amazonaws[.]com/littlescruff/8.html
Dominio della pagina di destinazione:
- bartonsurveying[.]com
Campagna Superdrug
Esempi di oggetti delle e-mail:
- Compili il nostro sondaggio e riceva i premi Superdrug
- Avviso regalo! Non si lasci sfuggire il suo omaggio gratuito da Superdrug
- Esprimete la vostra opinione e ricevete fantastici premi da Superdrug
- Condivida la Sua opinione su & e sblocchi vantaggi esclusivi Superdrug!
- La Sua opinione è importante | Riceva un premio da Superdrug
- Il Suo regalo Superdrug La aspetta – Lo richieda subito: Rif. 66630-7691
URL di phishing:
- hxxps://s3.amazonaws[.]com/newsmachinet/1.html
- hxxps://andiandilon.s3.dualstack.us-east-1.amazonaws[.]com/sdrug.html
- hxxps://s3.amazonaws[.]com/heilbronrose/1.html
- hxxps://s3.amazonaws[.]com/heilbronrose/6.html
- hxxps://s3.amazonaws[.]com/deltine2002y/9.html
Obiettivi
Focus geografico: principalmente Regno Unito; in espansione verso il Canada e i mercati globali
Settore di riferimento: tutti i settori
Raccomandazioni
Formazione sulla sensibilizzazione alla sicurezza degli utenti
- Informare i dipendenti sulle caratteristiche specifiche di questa campagna
- Formare il personale affinché verifichi gli incarichi inattesi tramite canali di comunicazione distinti prima di cliccare sui link
- Si raccomanda di prestare particolare attenzione alla verifica dell'autenticazione: gli utenti dovrebbero sempre controllare la barra degli indirizzi prima di inserire le credenziali; le pagine di accesso Microsoft autentiche utilizzano i domini login.microsoftonline.com o login.microsoft.com, non varianti di powerappsportals.com
Ricerca proattiva delle minacce
- Effettuare una ricerca nei registri delle ricevute e-mail utilizzando gli indicatori (IOC) elencati
Considerazioni a lungo termine
Le organizzazioni dovrebbero rendersi conto che le campagne di truffa basate sui sondaggi sfruttano aspetti fondamentali della psicologia umana legati alla reciprocità e alle offerte a tempo limitato. Poiché queste campagne diventano sempre più sofisticate in termini di usurpazione dell’identità dei marchi e di implementazione tecnica, le strategie di rilevamento devono evolversi oltre gli indicatori tradizionali per includere l’analisi comportamentale e la valutazione contestuale dei sondaggi e delle offerte di ricompensa che giungono tramite e-mail.
Mantenete il vostro vantaggio competitivo nell’ambito dell’intelligence sulle minacce
Unitevi alle migliaia di professionisti della sicurezza che si affidano ai nostri avvisi selezionati con cura, alle analisi degli esperti e agli IOC delle campagne per difendersi dalle più recenti minacce informatiche.
La registrazione è andata a buon fine
La ringraziamo per essersi iscritto per ricevere gli aggiornamenti relativi alle nostre notifiche sulle informazioni relative alle minacce.
Vi ricontatteremo!