Phishing TotalErg
Sempre più spesso i cyber criminali si orientano verso la realizzazione di frodi on-line a danno di utenti di enti non bancari. Lo scorso anno terminò con una violenta campagna di phishing a danno dei maggiori operatori di telefonia mobile e della catena della grande distribuzione Carrefour.
In particolare la campagna di attacchi a quest’ultima, che si sviluppo tra la metà di dicembre e la metà del gennaio successivo, fu caratterizzata dall’utilizzo degli SMS via cellulare quali vettori dell’attacco.
Tale tipologia di attacco presenta alcune caratteristiche, discusse nel paper “Phishing via SMS“, che ne elevano la pericolosità rendendo complesse le attività di monitoraggio in assenza delle quali l’azione di contrasto può essere carente.
Il medesimo team criminale autore dei casi a danno di Carrefour torna ora in azione, con phishing veicolato a mezzo SMS, ai danni di TotalErg con un sms che invita ad aderire all’offerta di acquisto di carburante al costo di un solo euro al litro, visitando il sito www.ergshop.org:
“TotalErg & Sky, acquista i Buoni Carburante 1,00 euro a litro risparmiando il 60/80%, offerta limitata vai sul nostro sito ERG www.ergshop.org“
Il sito in questione non ha alcun collegamento con TotalErg SpA, risultando invece il dominio intestato ad un italiano presumibilmente ignaro del tutto. La pagina in hosting presso Register.it funziona quale redirect portando al sito clone all’url
http://www.total-erg.mobi/www.totalerg.it/nei-nostri-punti-vendita/buoni-carburante-elettronici/buoni-carburante-web-acquisto-online.html
in hosting su A Small Orange. Le pagine clone risultano essere il risultato di una brutale azione di copia del sito totalerg.it realizzata in data 19 Agosto 2014, alle ore 19:46 ora italiana dato che potrebbe avere la sua rilevanza per lo svolgimento di taluni accertamenti.
Le successive pagine clone, visitabili premendo il pulsante “Acquista ora”, sono (come di pressi con questo gruppo criminale) finalizzate alla cattura di dati personali e dei dati delle carte di credito.
Il kit di phishing, piuttosto elaborato, svolge un’azione di distinzione in base al BIN (bank identification number) della carta di credito, le prime sei cifre, in base al quale determina l’ente emittente, indirizzando l’utente su pagina clone interne al kit riproducenti la grafica ed i loghi di oltre una decina di istituti, tra cui Barclays, BCC, Fineco, Gruppo Bipiemme, ING Direct, Deutsche Bank, UBI Banca, Unicredit…
TotalErg già a conoscenza del tentativo di frode evidenzia la minaccia ai visitatori del proprio sito attraverso un vistoso banner che risulta, correttamente, impossibile ignorare.
Come per la campagna di phishing delle scorso anno a danno di Carrefour, anche in questo caso invitiamo i lettori a trasmetterci attraverso i commenti a questo articolo informazioni relative a:
- sito web indicato nell’sms;
- numero di telefono mittente.
Tali informazioni, una volta validate dall’amministratore del blog, diverranno pubbliche consentendo a chi deputato al contrasto ed alla’azione investigativa di seguire l’evolversi della campagna di phishing.
D3Lab ringrazia per la collaborazione.
Considerazioni successive 28/11/2014 10:20: “Phishing Total Erg, alcune considerazioni“