Phishing: Analisi del clone e rivendita del kit su Telegram

Il Threat Intelligence Team di D3Lab, nelle consuete attività quotidiane di analisi e contrasto alle frodi online ha rilevato nella giornata del 2 Novembre la creazione di un nuovo dominio Ad Hoc contenente un sito di phishing ai danni di ING Bank.

ING Bank è parte di ING Group (www.ing.com), gruppo bancario di origine olandese che offre servizi e prodotti bancari in più di 40 Paesi tra Europa, America del Nord, America Latina e Asia.

La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc, presumibilmente veicolata tramite messaggi di testo ( Smishing ) ha come intento quello di carpire le informazioni di accesso all’home banking, in questo caso codice utente e data di nascita della vittima.

Analizzando questa campagna di phishing è stato possibile individuare e studiare il funzionamento del kit.

Facciamo un piccolo preambolo su cosa sono i kit di phishing.
Essi rappresentano l’insieme di tutti i file, solitamente php, css e immagini che consentono di ricreare una falsa pagina web dell’home banking in questione con il fine di carpire alla vittima le sue informazioni sensibili. Il Command and Control, o Panel, compreso usualmente nel kit, permette al criminale di avere un riepilogo visuale del numero di vittime e dei dati carpiti.

Dall’analisi della campagna di phishing si è risaliti al Command and Control che presenta una particolarità, infatti nella home page del C2 vi è la firma del creatore del kit.

Dalla quale è possibile risalire al profilo Telegram dell’autore, ma ancora più di interesse ad un canale Telegram da lui amministrato che all’inizio del monitoraggio contava 643 iscritti. Ed è qui che il phisher vende, accettando pagamenti in crypto, i propri panel per la cifra di 275 sterline con opzione di personalizzazione a 300.

Tra i phishing kit italiani in vendita troviamo i seguenti enti:

  • Nexi
  • Inbank
  • Alfabeto Fideuram
  • San Paolo
  • Unicredit
  • Poste Italiane

A conferma di quanto detto, nei giorni scorsi, sono stati rilevati altri 2 domini creati Ad hoc ai danni di Intesa San Paolo, con lo stesso Command and Control.

Ma tale attività criminale non si limita solamente al panorama italiano.

Sono presenti in lista, ordinata per paesi, oltre 300 enti impattati e rappresentati in questa lista:

Invitiamo pertanto gli utenti a prestare attenzione e a non divulgare le proprie informazioni personali ( username, password, e-mail, etc ).