Ingegneria Sociale una volta acquisite le credenziali?!

,
whois query

In seguito all’attacco rilevato nei giorni scorsi a danno di Cassa di Risparmio di Cesena, D3Lab ha eseguito un’analisi approfondita riguardante il dominio coinvolto.

Analizzando l’host si rileva che è stato creato in data 30-07-2015 come evidenziato nello screenshot sottostante e che risulta essere posizionato su un server ecuadoregno.

20160805104403

 

Questo dominio è coinvolto in attacchi di phishing e malware da giugno del 2016 a danno di vari istituti di credito Italiani quali Unicredit, Cassa di Risparmio di San Miniato, Veneto Banca, Banca Popolare di Vicenza, BNL, Poste Italiane, UBI Banca e ING Direct.

Le pagine fraudolente, posizionate tutte sul medesimo host dell’Ecuador, riportano il logo e la grafica dell’ente bancario coinvolto nel phishing.

In tutti questo caso i criminali si sono interessati a carpire i dati di login all’account di internet banking, talvolta limitandosi ad esse, senza richiedere eventuali password dispositive, Token OTP, o altri codici di validazione delle operazioni. Tale pratica lascerebbe ipotizzare che i criminali possano procedere a successivi step dei tentativi di frode attraverso diversi canali di comunicazione (per esempio via telefono) usando i dati consultabili nel profilo utente o nelle movimentazioni.

 

20160805135538

20160808114158

 

20160808114422

 

 

crop_1468391991

 

L’impiego del medesimo host e particolari del codice delle pagine web permettono di attribuire i tentativi di frode menzionati ad un’unica entità criminale.