Phishing CartaSi

L’attività di monitoraggio D3Lab ha consentito di individuare un tentativo di frode volto a colpire i clienti di CartaSi attraverso un messaggio di posta elettronica, con il quale l’utente viene invitato ad aggiornare i dati della carta di credito per motivi di sicurezza.

20160810161335

 

Il link proposto porta a pagina fraudolenta dove vengono richieste le credenziali di accesso del cliente

20160810153545

 

L’attività di analisi ha permesso di individuare che allo stesso indirizzo IP lettone sono associati almeno 40 domini che con subdomini random (es. random.sitoviolato) puntano  a pagine clone CartaSi, realizzati in data 09 Agosto 2016.

20160811163922

 

Le ricerche svolte nell’ambito del caso hanno permesso di recuperare il kit di phishing, l’insieme di file usati dal criminali per proporre in internet le proprie pagine fraudolente,

20160825094931

il cui esame  ha portato ad identificare la presenza di un file .txt che contiene i log visite del clone, ma principalmente si scopre che le credenziali vengono inviate via curl ad altro host, impiegando alcuni parametri come valori di validazione del POST

 

20160825095020