Phishing Banca del Sud

file manager non protetto

Pensare che l’attività di monitoraggio degli attacchi di phishing si concluda con il vaglio delle mail ricevute o l’analisi delle fonti aperte sarebbe limitante. Grazie all’esperienza maturata nell’ambito dell’analisi dei casi di phishing sin dal 2009, D3Lab ha potuto individuare nella mole di tentativi di frode vagliati, quelle caratteristiche che, comuni in parte di essi, consentono di ascriverne la paternità ad uno specifico gruppo.
L’attenzione dedicata in modo continuativo da cinque anni a tale fenomeno ha da tempo permesso all’azienda di “conoscere” le modalità operative, le consuetudini di alcuni di questi gruppi criminali, potendo in tal modo implementare il monitoraggio di mail e fonti aperte con l’attività di analisi, indagine e monitoraggio condotta sui siti e server in uso ai criminali.

 

Nella giornata odierna, il monitoraggio di uno dei siti web in uso ai criminali da ormai diverse settimane e da questi  usato per  colpire BPER, Banca Popolare di 

file manager non protetto 

 

Sondrio e Poste Italiane, ha permesso di individuare un nuovo file di redirect destinato a condurre i visitatori più ingenui su pagine di phishing realizzate per colpire i clienti di Banca del Sud e posizionate all’interno di un sito web, presumibilmente violato, già impiegato per ospitare pagine di phishing a danno di Expedia.

pagina di phishing 

 

La pagina clone visualizza il box di login attraverso un frame presente in una directory di livello inferiore

index of 

 

che risultando esplorabile mostra il proprio contenuto, evidenziando l’utilizzo di immagini, fogli di stile e javascript

index of

 

 

caricati nella struttura offensiva e non richiamati dal sito legittimo dell’istituto.

Dopo l’inserimento di username e password la vittima viene dirottata sulla seconda pagina destinata alla cattura dei codici dispositivi presentante la nota struttura

seconda pagina clone 

 

delle pagine di phishing usate per colpire gli home banking basati sul servizio erogato da Cedacri sin dal 2009/2010.

Dopo l’inserimento dei codici dispositivi le vittime vengono portate sulle pagine web del sito legittimo.