Phishing Banca Agricola Popolare di Ragusa 20151210
Nell’anno ormai al termine i criminali hanno posto la loro attenzione su enti precedentemente poco o per nulla colpiti dal phishig, come Veneto Banca e Banca delle Marche.
Nel caso degli enti citati ci si può ritenere fortunati che i criminali non abbiano confezionato le mail di attacco facendo leva sulle problematiche ormai note a tutti di tali istituti. Si può immaginare con facilità quale sarebbe stato il grado di allerta ed ansia provocato da false comunicazione che, paventando l’utilizzo dei conti correnti dei risparmiatori per ripianare i debiti degli istituti, avessero veicolato gli utenti verso pagine di phishing.
In altri casi i phisher sono tornati a colpire istituti di credito non aggrediti da diversi anni. Si è in definitiva assistito ad un anno in cui a fronte di un netto calo dei tentativi di phishing si è avuto un incremento degli attacchi ad enti non bancari, in particolare gli operatori di telefonia mobile ed Apple, ed una migrazione da target ormai classici (Poste Italiane, PayPal, ecc…) verso target meno soggetti al fenomeno, i cui clienti ed utenti presentano quindi una minor scaltrezza e conoscenza della minaccia.
Si inserisce in tale contesto il tentativo di phishing rilevato nella serata di ieri a danno dei clienti dell’istituto di credito Banca Agricola Popolare di Ragusa:
Il messaggio di posta fraudolento presenta le seguenti caratteristiche:
Mittente apparente: <[email protected]>
Oggetto: EQUITALIA
testo:
————————————————————————————
EQUITALIA
Cartella esattoriale nr 96263/12 procedimento amministrativo sanzonatorio del 24/06/2012.
Qualora non abbia gia provveduto al pagamento la preghiamo di accedi la raccomandata nella sezione di sito autorizzato Banca Agricola Popolare di Ragusa.
La ringrazioamo per la collaborazione.
Distinti saluti ,
EQUITALIA
————————————————————————————
Il link celato dalla dicitura “ACCEDI DOCUMENTO” porta ad una pagina php, che insieme ad altre 299 inserite in un sito web UK violato, ha la funzione di redirect e conduce i visitatori alle pagine clone inserite in un sito web romeno, dove all’utente sono richiesti i dati di login.
nella pagina successiva viene richiesto all‘utente di inserire il proprio numero di cellulare.
La mancata richiesta di ulteriori dati via web lascia ipotizzare che i criminali, dopo aver effettuato il login con i dati acquisiti e verificato l’effettivo ammontare di quanto presente sul conto, possano procedere perfezionando la frode via telefono, sfruttando i dati acquisiti dalle pagine del cliente.
