Criminals leave tracks

data/ora creazione/ultima modifica file fraudolenti

Troppo spesso chi subisce l’azione dei cyber criminali, nella convinzione che questi abbiano ineguagliabili capacità tali da consentir loro di muoversi invisibili nella rete, tende a ritenere inutile l’azione investigativa/repressiva che potrebbe seguire una eventuale denuncia.

In realtà così non è, ma spesso la possibilità di individuare il passo falso, la traccia lasciata dal delinquente, va “inseguita” con un monitoraggio continuo dell’attività criminale.

Nei giorni scorsi D3Lab ha rilevato alcuni tentativi di frode ai danni degli utenti di Deutsche Bank attuati da uno dei più attivi gruppi criminali operanti in Italia.

L’analisi della struttura di rete messa in piedi dai phisher ha consentito di determinare data/ora di creazione/ultima modifica

 

data/ora creazione/ultima modifica file fraudolenti

della pagina fraudolenta e di visionare i log http del server che ospitava la pagina in questione.

Il confronto dei dati ha consentito di determinare che il criminale aveva operato da un indirizzo ip romeno verificando l’accessibilità della

estratto log http

pagina, accedendovi direttamente e da una mail box di Libero, presumibilmente testando le funzionalità di un messaggio di prova vettore dell’attacco.

Pur essendo una dato di fatto che le attività siano probabilmente state svolte oltre i confini nazionali, rimane la possibilità che attraverso la mail box di Libero il phisher abbia fatto transitare comunicazione verso altri soggetti dell’organizzazione, identificabili attraverso l’idonea attività investigativa.