Acquista una carta di credito rubata con un click
Il Threat Intelligence Team di D3Lab, nelle sue quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di una campagna di phishing multibanca ai danni rispettivamente di Banco Popolare di Milano BPM, Illimity Bank e Bunq.
Banco BPM S.p.A. è un gruppo bancario italiano di origine cooperativa, presente in tutta Italia con l’eccezione dell’Alto Adige caratterizzato da un forte radicamento locale, in particolar modo in Lombardia (dove è il maggiore operatore con una quota del 15%), in Veneto ed in Piemonte.
Illimity Bank S.p.A è la banca di nuova generazione, senza vincoli, nata dalla fusione tra SPAXAS e Banca Interprovinciale SPA, è quotata anche in Borsa e fornisce credito ad imprese ad alto potenziale.
Bunq B.V. è un’azienda fintech con una licenza di operatore bancario europea. Offre servizi bancari sia ai residenti che alle imprese dei paesi europei attraverso un modello di abbonamento al servizio.
I Kit di phishing in questione sono molto simili e funzionano allo stesso modo. In particolare siamo partiti analizzando quello ai danni di Illimity Bank.
Esaminando il codice sorgente del clone è stato possibile identificare la modalità utilizzata dai criminali per raccogliere le informazioni sensibili carpite. I dati immessi dalla vittima, vengono inviati ai phisher tramite Telegram.
Analizzando i Token Telegram sfruttati dai criminali mediante lo strumento OSINT tosint.
Notiamo che il team criminale è chiaramente di origine italiana.
Approfondendo l’analisi ulteriormente, è stato possibile rilevare un gruppo Telegram con all’interno un link .onion.
E dai qui il successivo messaggio rivolto ai membri del gruppo, che come si può vedere sono più di 12.000.
Sembra finita qui, e invece no, continuando la nostra analisi risaliamo ad uno shop/market di carte di Credito denominato Bahira Finance. Esplorando il market è possibile determinare che le carte di credito vengono messe in vendita con prezzi variabili tra i 12 ed i 25 dollari, suddivise non solo in base al paese di emissione ma anche alla città.
Dall’analisi dei Kit di Phishing ai danni di Banco BPM e Bunq si rilevano le medesime risultanze. I dati carpiti alle vittime vengono inviati al medesimo gruppo Telegram e non si rilevano differenze nella loro gestione.
La presenza di market dediti alla vendita di carte di credito non rappresenta una novità, ma dimostra come le stesse restino un provento di frode remunerativo e ricercato nonostante le implementazioni di sicurezza degli ultimi anni.
Come di consueto, invitiamo gli utenti a prestare attenzione e a non divulgare le proprie informazioni sensibili ( username, password, e-mail, dati di carte di credito, etc.)