Domini “AI‑powered” e phishing: come riconoscere i siti‑trappola (con prove reali)

Non è teoria: i criminali creano siti a migliaia

Da mesi si vedono campagne di phishing costruite su migliaia di domini registrati in blocco, spesso generati o selezionati con l’aiuto dell’IA. In molte operazioni si usano Domain Generation Algorithms (DGA): programmi che inventano rapidamente nomi di siti sempre nuovi, così i filtri fanno più fatica a bloccarli in tempo. Non parliamo di impressioni: ad aprile 2025 l’FBI ha diffuso 42.000 domini usati dal servizio criminale LabHost per imitare banche e servizi pubblici (fonte: FBI FLASH 29/04/2025 — https://www.ic3.gov/CSA/2025/250429.pdf). A maggio 2025, un’altra nota FBI ha tracciato l’infrastruttura “Funnull”: 548 CNAME collegati a oltre 332.000 domini impiegati in truffe d’investimento (fonte: FBI 29/05/2025 — https://www.ic3.gov/CSA/2025/250529.pdf).

Tradotto: non arriva più “la” mail sospetta ogni tanto, ma ondate di link diversi, sempre nuovi. E i filtri fanno fatica perché i domini cambiano di continuo.

Cos’è un sito‑trappola (spiegato semplice)

È una copia credibile del sito di una banca, di un corriere, di un ministero, di un social. A volte è identica. Lo scopo non è “informarti”, ma prendere qualcosa da te: di solito username e password, talvolta codici OTP o dati della carta. Lo fanno con uno script a passi: ti mostrano il logo e una finta pagina di login, ti chiedono le credenziali, poi –se le inserisci– passano alla schermata “serve il codice” o “verifica carta”. Intanto, in sottofondo, un operatore usa in tempo reale la tua password sul sito vero. Se dai anche il codice, l’accesso è completo. In altri casi ti propongono un rimborso o un pacchetto sospeso: il modulo serve solo a prendere i dati del pagamento.

Questi siti arrivano tramite email, SMS (smishing), messaggi WhatsApp/Telegram o annunci truccati su motori di ricerca e social. Il testo punta sempre su urgenza e paura: “il tuo account sarà bloccato”, “pacco in giacenza”, “verifica immediata richiesta”.

Perché questi siti ingannano (anche gli attenti)

Non cascano solo i distratti. I truffatori curano i dettagli. Il nome del sito sembra giusto perché usa parole specchio del marchio (secure, verify, help, portal) e store economici. Il trucco più subdolo sono i subdomini: paypal[.]com[.]security‑verify[.]net non è PayPal; il dominio vero è security‑verify[.]net e tutto ciò che viene prima (paypal[.]com) è solo decorazione. La grafica è perfetta: loghi, colori, font, persino i popup sui cookie. C’è il lucchetto HTTPS? Certo: oggi quasi tutti i siti –anche quelli truffa– hanno un certificato valido. Il lucchetto indica cifratura del collegamento, non l’affidabilità del sito.

C’è poi la pressione psicologica. Gli SMS con ID chiamante falsificato possono apparire nello stesso thread della tua banca, facendo sembrare tutto più vero. Il testo è progettato per farti agire in fretta: “entro 30 minuti”, “ultima notifica”. E quando clicchi, la pagina è mobile‑friendly, veloce e spesso senza errori di ortografia: sembra proprio quella giusta.

Esempi pratici (innocui e commentati)

Gli URL qui sotto sono esempi didattici (non cliccabili: la parte [.] serve a impedire il click). Leggili come allenamento.

• area-clienti[.]poste[.]it[.]conferma‑pagamenti[.]info/login
  Sembra Poste perché a sinistra c’è poste.it, ma il dominio vero è conferma‑pagamenti[.]info. Tutto ciò che precede è un subdominio.
• paypal[.]com[.]verify‑center[.]support/security
  C’è paypal[.]com all’inizio, ma il dominio vero è verify‑center[.]support. Parole come verify, secure, center sono esche.
• agenziaentrate[.]gov[.]it‑servizi[.]online/check
  I truffatori giocano con il trattino: qui il dominio vero è servizi[.]online; agenziaentrate.gov.it‑ è solo scenografia.
• SMS tipico (innocuo):
  “[BancaXY] Pagamento sospeso. Verifica entro 30 min: banca‑xy‑sicurezza[.]com/ID8734”
  Regola d’oro: non toccare il link; apri l’app ufficiale o digita l’indirizzo a mano.

Come leggere l’indirizzo

Impostazioni salvavita (dove si trovano)

• Avvisi anti‑phishing del browser:
  • Safari (iPhone/iPad) → Impostazioni > Safari > Avviso sito web fraudolento (se presente).
  • Chrome → Impostazioni > Privacy e sicurezza > Navigazione sicura (se presente).
  • Firefox → Impostazioni > Privacy e sicurezza > Protezione da contenuti ingannevoli (se presente).
  • Edge → Impostazioni > Privacy, ricerca e servizi > Microsoft Defender SmartScreen (se presente).
• Autenticazione a due fattori (2FA) su email e servizi: cercare Sicurezza/2FA nell’app (se presente).
• Clienti bancari: attivare notifiche push/SMS per movimenti e limiti per bonifici istantanei/nuovi beneficiari (se presenti).
• Password manager: suggerisce credenziali solo sul dominio giusto (se non compila, fermarsi e controllare).

Cosa fare se un link è arrivato comunque

• Non inserire credenziali: se le hai già inserite, cambia subito la password e disconnetti le sessioni attive (se presenti).
• OTP e carte: mai comunicare codici via telefono/chat. Se lo hai fatto, blocca subito carta/conti e avvisa la banca.
• Controllo account: verifica accessi recenti, indirizzi di recupero e app collegate (se presenti).
• Segnala e denuncia: inoltra l’SMS/email sospetto ai canali ufficiali della banca/servizio e, se è una truffa, denuncia (Commissariato di PS).

Perché ne parlo ora

Perché le ondate di domini rendono più difficile “imparare a memoria” cosa evitare. Servono abitudini semplici: leggere bene il dominio, aprire solo da app/siti ufficiali, non credere al lucchetto, usare 2FA e password manager. E sapere che, se ci caschiamo, si rimedia con passi chiari.

Link utili

• Commissariato di PS – Polizia Postale: segnalazioni online → https://www.commissariatodips.it/segnalazioni/segnala-online/index.html

#2FA #DGA #dominiMalevoli #Funnull #IAGenerativa #LabHost #navigazioneSicura #PasswordManager #phishing #Privacy #sicurezzaDigitale

Domini “AI‑powered” e phishing: come riconoscere i siti‑trappola (con prove reali)   Attenzione! Scopri come riconoscere i siti-trappola creati con l'aiuto dell'IA e evita di cadere in truffe online. Leggi ora! https://www.staipa.it/blog/?p=22769&fsp_sid=1835

#2FA #DGA #dominimalevoli #Funnull #IAgenerativa #LabHost #navigazionesicura #PasswordManager #phishing #Privacy #sicurezzadigitale #InformEtica #UsoConsapevoleDellaTecnologia #AI #cybersecurity

The FBI's IC3 released 42,000+ domains tied to LabHost, a major phishing platform dismantled in April 2024.

#FBI #phishing #domain #platform #LabHost

https://cnews.link/fbi-shares-42000-phishing-domains-1/

🚨 Hunting #SheByte PhaaS Platform: The LabHost Successor
🎯 This #PhaaS targets major banks in Canada and USA, including Interac, delivery services, telecom, toll roads. It also extends to Coinbase, popular email providers like Yahoo, Gmail, and Outlook, and impersonates brands such as Bell, Apple, and Amazon.

Following the #LabHost takedown in early 2024, SheByte operators are working to fill the gap by promoting their platform via Telegram and releasing major updates:
🔹 Geofiltering: prevents access to the phishing page from outside the targeted regions.
🔹 Connection Type Filtering: restricts VPN, hosting, mobile.
🔹 Fingerprint Detection: detects bots and sandboxes.
🔹 Enhanced Control of Page Flow: enables real-time control over the victim’s interaction flow.
🔹 V2 Page Builder: phishing page builder that mimics legitimate sites, adds custom data-stealing forms, and requires no coding skills.

🔗 Execution chain:
Phishing link ➡️ Fake bank login page ➡️ Credential harvesting ➡️ OTP interception ➡️ Security question capture ➡️ Redirect to legitimate bank site

👨‍💻 With #ANYRUN Sandbox, analysts can explore the phishing kit functionality available through the phishkit's admin panel: https://app.any.run/tasks/56ddc9be-3d32-405e-a53b-33b90640602e/?utm_source=mastodon&utm_medium=post&utm_campaign=shebyte&utm_content=linktoservice&utm_term=300425

Explore captured and detonated phishing site samples, most likely created using the SheByte phishing builder:
https://app.any.run/tasks/2b23cac6-fe32-4ac8-8f60-1a4758eaf711/?utm_source=mastodon&utm_medium=post&utm_campaign=shebyte&utm_content=linktoservice&utm_term=300425
https://app.any.run/tasks/6aacde46-d7e8-47a1-b2bf-606137c46bd8/?utm_source=mastodon&utm_medium=post&utm_campaign=shebyte&utm_content=linktoservice&utm_term=300425
https://app.any.run/tasks/d39f8b11-b228-4a52-9c4e-3a07fb745f26/?utm_source=mastodon&utm_medium=post&utm_campaign=shebyte&utm_content=linktoservice&utm_term=300425

🔍 These #phishkits often include data collection forms. Victims are tricked into entering sensitive information, which is sent directly to the attacker. This behavior can be used as a hunting pivot:
🔹 /file/db_connect<digits?>.php + request body parameters: name=
🔹 /t3chboiguru<digits?>.php + request body parameters: usr= psd=

📌 Indicators and patterns for hunting SheByte-related infrastructure:
CSS file hashes:
🔹 SHA256: 58d0a27afc6ed22f356c907579f15f41f120c913c118837dba9c1b8da13a5a4f
🔹SHA256: bc054fd38e88a7c9c1db08bd40dfe7ad366fa23efdce184e372d2adb431c91d2

Reverse DNS reused across multiple phishing-related domains:
🔹 my1[.]bode-panda[.]shop

Favicon of FIRST Bank loaded from a non-legitimate domain:
🔹 SHA256: 6e18a721d5559f569e5a6585bb6430c1965788e4607ea6704601872de8168811
🔹 Legitimate domain: bankatfirst[.]com

A URL request chain with a low number of HTTP requests in the session:
🔹 /personal.html
🔹 /otp.html
🔹 /c.html

#IOCs:
172[.]93[.]121[.]9
162.241[.]71.139
172.93[.]120.134
santosjjax[.]com
ghreo[.]net
cractil[.]net
sitygma[.]net

👨‍💻 SheByte Admin Dashboards:
www[.]lillliiilllliiiiilliilllllllliiii[.]site
jonathanserhan[.]shebyte[.]io

Analyze and investigate the latest #malware and phishing threats with #ANYRUN 🚀

Projet Nova : l’empire pirate LabHost s’effondre au Québec
https://www.zataz.com/projet-nova-lempire-pirate-labhost-seffondre-au-quebec/

#Infosec #Security #Cybersecurity #CeptBiro #ProjetNova #LabHost #Quebec #Zataz

Excellent investigation by Zataz into Project Nova. The operation is a success. This operation, led by 19 countries, aims to undermine LabHost (shut down in 2024). A 38-year-old British man was arrested and convicted.

Current operations (April 2025) are attempting to target and track the platform's users.

#Zataz #LabHost #Hacking #Spam #Infosec #Cyber #Cybersecurity #Quebec

https://www.zataz.com/projet-nova-lempire-pirate-labhost-seffondre-au-quebec/

Police take down $249-a-month global phishing service used by 2,000 hackers

Law enforcement officials in 19 countries have shut down an online platform that earned at least $1 million by selling phishing kits to cybercriminals, helping them launch attacks on tens of thousands of people worldwide.

#LabHost #Met #police #Europol #phishing #cybercrime #security #cybersecurity #infosec #hackers #Hacking

https://www.cnn.com/2024/04/18/tech/labhost-cybercrime-phishing-arrests/index.html

Global law enforcement cracked down on #LabHost phishing service!

"Operation Nebulae" arrested 32 individuals, including UK masterminds. LabHost ran 40,000 domains, victimizing over 94,000 in Australia.

https://thehackernews.com/2024/04/global-police-operation-disrupts.html

#hacking #cybersecurity