1. Descrizione della minaccia
Sta circolando con rinnovata intensità una campagna di phishing che sfrutta il brand di Aruba S.p.A., uno dei principali provider italiani di hosting, domini e servizi cloud. I truffatori inviano email apparentemente legittime che simulano comunicazioni ufficiali di Aruba, avvisando il destinatario di un presunto problema di pagamento relativo al rinnovo di un dominio registrato.
L’obiettivo è indurre l’utente a cliccare su un link fraudolento, che rimanda a una pagina contraffatta identica al portale di Aruba, al fine di sottrarre le credenziali di accesso all’account e/o i dati della carta di credito.
| ⚠ ATTENZIONE Aruba non invia mai richieste di pagamento urgenti via email con pulsanti diretti. In caso di dubbio, accedere SEMPRE al proprio account direttamente dal sito ufficiale www.aruba.it — mai tramite link contenuti nell’email. |
2. L’email analizzata
Di seguito è riportata l’email oggetto di questa segnalazione, ricevuta da un utente e sottoposta ad analisi dal team IT.
Fig. 1 — Esempio reale di email di phishing con grafica Aruba.it (maggio 2026)
A prima vista, l’email appare convincente: utilizza il logo ufficiale Aruba, i colori aziendali (arancione e bianco/blu), e una struttura grafica analoga alle comunicazioni legittime del provider. Contiene:
- Mittente apparente: staff@docsnet.it — non un dominio Aruba
- Oggetto: “Promemoria: verifica i dettagli per docsnet.it”
- Un riquadro che mostra nome dominio, stato e importo (€ 9,99/anno)
- Un pulsante arancione “VERIFICA I DETTAGLI” con un link malevolo
- Dicitura “Connessione sicura · SSL crittografato” per aumentare la credibilità
3. Segnali d’allarme — come riconoscerla
Nonostante la cura nella realizzazione grafica, questa email presenta numerosi elementi che la smascherano come fraudolenta. Eccoli elencati in dettaglio:
| Segnale d’allarme | Perché è sospetto |
| Mittente non Aruba | L’indirizzo del mittente è staff@docsnet.it, un dominio completamente estraneo ad Aruba. Le email legittime di Aruba provengono da domini @aruba.it o @staff.aruba.it ufficiali verificabili. |
| Senso di urgenza artificiale | Espressioni come “pagamento non completato”, “verifica in attesa” e un importo preciso (€ 9,99) sono tecniche classiche di social engineering per spingere all’azione impulsiva senza riflessione. |
| Pulsante con link sospetto | Il tasto “VERIFICA I DETTAGLI” non punta a www.aruba.it. Passando il mouse sul pulsante (senza cliccare) si rivela un URL falsificato, spesso un dominio che imita Aruba con piccole variazioni. |
| Destinatario generico | L’email è indirizzata a staff@docsnet.it: le comunicazioni reali di Aruba includono il nome del titolare dell’account e il numero cliente, non indirizzi email generici. |
| “SSL crittografato” come falsa garanzia | La dicitura “Connessione sicura · SSL crittografato” non certifica nulla sulla legittimità del sito di destinazione. Anche i siti di phishing usano HTTPS con certificati gratuiti (Let’s Encrypt). |
| Layout copiato ma imperfetto | Osservando attentamente, font, spaziature e proporzioni possono differire leggermente dall’originale. I truffatori copiano le email legittime ma raramente sono perfetti al 100%. |
4. Come funziona la truffa
Il meccanismo di questa campagna di phishing segue uno schema collaudato in tre fasi:
Fase 1 — L’esca (Hook)
L’utente riceve un’email formalmente curata che simula una comunicazione urgente di Aruba relativa a un dominio. L’importo ridotto (€ 9,99) abbassa la guardia: non sembra una truffa da migliaia di euro, ma un normale rinnovo dimenticato.
Fase 2 — Il sito clone (Fake Landing Page)
Cliccando sul pulsante, l’utente viene reindirizzato a una pagina web che replica fedelmente il portale clienti di Aruba. La pagina richiede l’inserimento di credenziali (username e password) e/o dati di pagamento (numero carta, CVV, scadenza).
Fase 3 — Il furto e il riutilizzo
I dati inseriti vengono immediatamente trasmessi ai criminali. Con le credenziali Aruba rubate, gli attaccanti possono: trasferire i domini su altri provider, creare sottodomini per diffondere malware, accedere a email associate all’hosting, e tentare attacchi di credential stuffing su altri servizi (stessa password).
5. Cosa fare (e cosa non fare)
Se hai ricevuto questa email e NON hai cliccato
| ✅ AZIONI CONSIGLIATE Segnalare l’email come phishing dal client di posta (Outlook: Segnala > Phishing). Eliminare il messaggio dalla posta in arrivo e dal cestino. Segnalare l’email ad Aruba all’indirizzo antiphishing@staff.aruba.it. Se il dominio menzionato e’ effettivamente tuo, accedi ad Aruba direttamente da www.aruba.it per verificare lo stato reale. |
Se hai cliccato ma NON hai inserito dati
Non inserire alcun dato. Chiudere immediatamente il browser e segnalare l’accaduto all’IT. Non è necessario alcun intervento urgente sul proprio dispositivo, ma è consigliabile eseguire una scansione antivirus per escludere download automatici di malware (drive-by download).
Se hai inserito credenziali o dati di pagamento
| 🚨 AZIONI URGENTI — ESEGUIRE IMMEDIATAMENTE 1. Cambiare SUBITO la password Aruba dal sito ufficiale www.aruba.it. 2. Abilitare l’autenticazione a due fattori (2FA) sull’account Aruba se non ancora attiva. 3. Contattare il proprio istituto bancario / emittente carta per bloccare la carta e segnalare la frode. 4. Verificare che non siano state apportate modifiche ai propri domini (redirect, trasferimenti). 5. Segnalare l’accaduto all’IT e, in caso di frode consumata, presentare denuncia alla Polizia Postale (https://www.commissariatodips.it). |
6. Perché questa truffa è così efficace
Aruba è uno dei registrar e provider di hosting più diffusi in Italia, con milioni di utenti. Questa capillarità è esattamente ciò che la rende un bersaglio perfetto per il phishing: inviando email massive a indirizzi casuali, le probabilità di colpire qualcuno che effettivamente possiede un dominio Aruba sono molto alte.
A questo si aggiunge la familiarità visiva: molti utenti hanno ricevuto comunicazioni legittime da Aruba in passato, e la grafica della truffa è sufficientemente fedele da non destare sospetti immediati, soprattutto su dispositivi mobili dove l’indirizzo del mittente è meno visibile.
L’importo contenuto (€ 9,99/anno) è un ulteriore elemento psicologico: non sembra una truffa “importante”, e la soglia di diffidenza si abbassa proporzionalmente al valore in gioco.
7. Buone pratiche per proteggersi
| 🛡 REGOLE D’ORO CONTRO IL PHISHING Non cliccare mai su link in email relative a pagamenti o scadenze: vai sempre direttamente al sito del provider. Verificare SEMPRE il mittente reale espandendo l’intestazione completa dell’email. Passare il mouse sui link (senza cliccare) per vedere l’URL di destinazione reale. Attivare il 2FA su tutti gli account critici: hosting, email, banca, cloud. In caso di dubbio, telefonare al supporto ufficiale del provider per verificare. Non fidarsi del lucchetto HTTPS: garantisce la cifratura, non l’identita’ del sito. Mantenere aggiornato il client email e il browser per bloccare automaticamente i siti di phishing noti. |
RIEPILOGO RAPIDO
| ❌ NON fare Cliccare sul pulsante “Verifica i dettagli”Inserire password o dati della cartaRispondere all’email o chiamare numeri nell’emailFidarsi del logo o della graficaAprire allegati se presenti | ✅ FARE invece Accedere ad Aruba dal browser digitando l’URL manualmenteSegnalare l’email come phishingContattare l’IT in caso di clic accidentaleVerificare il mittente reale nell’intestazione emailAttivare il 2FA sull’account Aruba |