Phishing BCC Romagna Occidentale

pagina fraudolenta

Il monitoraggio svolto da D3Lab nel trimestre da poco conclusosi ha fornito dati allarmanti, evidenzianti una forte recrudescenza del phishing in ambito italiano, con i criminali che rivolgono l’attenzione ad enti target mai colpiti, o da tempo ignorati, e con caratteristiche comuni ai diversi attacchi indicanti come ad operare siano alcuni gruppi dinamici ed agguerriti.

Il monitoraggio odierno ha portato all’identificazione di un tentativo di phishing a danno dei clienti di una specifica Banca di Credito Coperativo, nello specifico la BCC Romagna Occidentale.

 La scelta dei criminali di colpire una banca specifico rappresenta una novità. In passato le Banche di Credito Cooperativo sono già state all’attenzione dei criminali che per colpirne gli utenti realizzavano phishing generici, traendo vantaggio dall’utilizzo di una template grafico comune a più istituti.

Nel trimestre appena terminato i criminali hanno condotto diversi attacchi di phishing volti a colpire gli utilizzatori delle carte di credito emesse da BCC e l’attacco odierno si differenzia anche in questo, mirando invece ad acquisire l’accesso all’home banking.

La prima pagina clone riprodotta nell’immagine sottostante e posizionata in un web server britannico, si presenta identica alla

pagina fraudolenta

pagina di login del legittimo portale di home banking della BCC Romagna Occidentale, riprodotta nell’immagine sottostante.

pagina legittima

Nel caso odierno i criminali hanno reso raggiungibile la pagina abilitando il wildcard sui domini di terzo livello del dominio saaspoint.com, all’interno del cui sito si trova, a tutti gli effetti, la pagina clone. Tale metodica consente loro di creare url univoci per ogni visitatore, vanificando le funzionalità di black list dei browser.

Effettuato il primo login il visitatore approda su una seconda pagina nella quale gli vengono chiesti due codici generati dal token OTP.

seconda pagina clone

Al termine di questo secondo passaggio l’utente viene condotto sul legittimo sito di simplybank.it, lapiattaforma di home banking in uso alla BCC Romagna Occidentale. Il criminale ha tuttavia reindirizzato l’utente sulla porta 443, dove viene visualizzata solo una pagina bianca.

La grafica della seconda pagina, dove vengono chiesti i pin otp, è comune ai recenti attacchi portati dai criminali alla piattaforma di home banking InBank, della Phoenix Informatica Bancaria, e nei confronti di Monte Paschi di Siena. Tali attacchi si contraddistinguevano da altri per l’iniziale uso di un allegato html alla mail fraudolenta, per passare poi alla visualizzazione di pagine on-line.

Nel caso odierno D3Lab non è in possesso della mail di phishing, ma la strutturazione dell’attacco non farebbe pensare all’uso di allagati. Chi ricevesse la mail di attacco a BCC Romagna Occidentale,  o a SimplyBank Web, ci farebbe cosa gradita se ce ne inviasse una copia ([email protected])