Phishing bancario predisposto per lo SIM SWAP
Il Phishing ai danni di utenti italiani è notevolmente aumentato dal 2019 ad oggi con un cambiamento di rotta significato nelle informazioni richieste alle vittime e dalle tecniche sfruttate dai criminali per divulgare e frodare le vittime. Per diversi anni l’interesse dei criminali era focalizzato principalmente sulle carte di credito e in minoranza sui dati di login per accedere al home banking; dal 2019 la situazione progressivamente è mutata fino ad oggi dove la stragrande maggioranza delle campagne verte dell’acquisire username e password di accesso al conto corrente online delle vittime.
L’interesse verso i conti correnti è avvenuto conseguentemente l’introduzione di metodi di pagamento istantanei raramente annullabili, come i bonifici bancari istantanei o pagamenti di bollettini postali, che garantiscono ai criminali un rapido ed efficace metodo di movimentare i soldi sottratti alle vittime. I nuovi sistemi anti-frode e l’introduzione della normativa PSD2 hanno reso più sicuri i conti correnti di tutti i correntisti Europei, i criminali sono stati quindi stimolati a progettare nuove tecniche di phishing più sofisticate che non comprendono più il solo invio di una e-mail ma anche chiamate telefoniche, installazioni di applicazioni sugli smartphone delle vittima e altre tecniche che vedremo in futuro in un articolo dedicato.
Ad oggi quindi al tradizionale sito di phishing viene comunemente affiancata una operazione di Vishing (chiamata da parte di un falso operatore bancario) e l’utilizzo di pannelli di controllo dedicati ai criminali per monitorare l’avanzamento della frode e richiedere in tempo reale alla vittime delle informazioni utili per eseguire operazioni illecite sul conto corrente della vittima.
Uno dei principali C2 (Command and Control) sfruttati nel phishing è il pannello Uadmin giunto alla sua versione 2.9, il suo creatore è stato arrestato lo scorso febbraio. Tale C2 è ancora oggi impiegato in diverse campagne di phishing ai danni di diversi istituiti di credito e anche nella campagna che andremo di seguito ad analizzare.
La caratteristiche fondamentali di questi pannelli di controllo è di poter interagire in tempo reale con la vittima per richiedergli informazioni utili al protrarsi della frode, informazioni usualmente richieste al criminale dall’istituto di credito durante la predisposizione di illeciti pagamenti. La duttilità di questi C2 è quella di potersi adattare alle diverse esigenze salvo una predisposizione iniziale delle possibili diverse informazioni da richiedere.
Recentemente abbiamo identificato un KIT di Phishing ai danni di Intesa San Paolo di oltre 170Mb che conteneva una varietà importante di moduli da mostrare alla vittima per carpire quante più informazioni possibili.
$ mdls sanpaolo.zip
kMDItemFSContentChangeDate = 2021-03-30 12:18:36 +0000
kMDItemFSCreationDate = 2021-03-30 12:18:11 +0000
kMDItemFSCreatorCode = “”
kMDItemFSFinderFlags = 0
kMDItemFSHasCustomIcon = 0
kMDItemFSInvisible = 0
kMDItemFSIsExtensionHidden = 0
kMDItemFSIsStationery = 0
kMDItemFSLabel = 0
kMDItemFSName = “sanpaolo.zip”
kMDItemFSNodeCount = 172385193
kMDItemFSOwnerGroupID = 20
kMDItemFSOwnerUserID = 501
kMDItemFSSize = 172385193
kMDItemFSTypeCode = “”
Tra di essi spicca, per novità, la richiesta del seriale della scheda SIM (ICCID) della vittima. Informazione utile per consentire al criminale di effettuare una operazione di SIM Swapping o richiedere la portabilità (MNP) del numero telefonico verso un altro operatore ottenendo in entrambe le operazioni il pieno controllo della numerazione telefonica della vittima. Efficace tecnica qualora per predisporre pagamenti bisogna effettuare chiamate e/o ricevere via SMS codici temporanei (OTP) di conferma.Ma non viene richiesto ovviamente solamente l’ICCID della numerazione telefonica della vittima, ma anche un documento di identità o un selfie, i dati anagrafici e il codice fiscale:
Qualora fosse necessario invece installare un malware sul telefono della vittima il kit contiene un modulo dedicato con tutte le informazioni necessarie per installare su uno smartphone Android applicazioni da origini sconosciute. Garantendo quindi la possibilità di controllare lo smartphone della vittima per carpire ulteriori dettagli utili per la frode.
Non mancano certamente moduli più tradizionali utili per richiedere alla vittima il numero della propria carta di credito, pin, codici temporanei (okey), domande e risposte segrete, iban e ovviamente i dati di accesso al conto corrente. Nella galleria di seguito potete consultare tutti i moduli previsti in questo phishing kit ai danni di Intesa San Paolo.
Indubbiamente negli ultimi anni i sistemi bancari hanno introdotto nuovi e preziosi metodi per prevenire le frodi ma è altresì vero che i criminali ogni giorno migliorano le proprie tecniche per aggirare tali sistemi anti-frode sfruttando in primis l’ingegneria sociale nei confronti dei correntisti che inconsciamente forniscono utili informazioni ai frodatori.
Risulta sempre più importante effettuare divulgazione per fornire conoscenza dell’esistenza di queste frodi e contrastare attivamente le campagne di phishing, operazione che D3Lab ogni giorno effettua in collaborazione con diversi istituti di credito italiani e alle principali blocklist, oltre al tempestivo blocco di carte di credito e/o username recuperabili dalle dropzone dei criminali.