Infraud: evidenze del traffico di carte di credito Italiane

Vasta rete di commercio illecito di Carte di Credito

Mercoledì 7 febbraio 2018 è emersa la notizia dell’avvenuta operazione internazionale di polizia denominata “Infraud“, operazione che ha portato alla scoperta di un grosso traffico illecito di carte di credito fruttando ingenti somme di denaro all’organizzazione criminale che da anni opera in questo specifico settore.

Le operazioni, come riportato da justice.gov, sono iniziate nel corso del 2010 e tra i soggetti sottoposti nei giorni scorsi agli arresti per aver preso parte attivamente all’organizzazione criminale, vi è un italiano conosciuto con lo pseudonimo di “Dannylogort“.

Si è ipotizzato, e indagini interne a D3Lab lo hanno confermato, che l’illecito abbia coinvolto anche carte di credito afferenti ad istituti bancari italiani.

La rete di commercio

Costo delle carte varia da un minimo di 80$ per 24 carte ad un massimo di 9500$ per 3670 carte

La rete di commercio mostrata in figura rappresenta solo una parte dei 977 domini individuati dal team di ricerca D3Lab, tutti ospitati sul medesimo server e registrati utilizzando 12 domini di primo livello, di cui:

  • 75 domini .biz
  • 13 domini .cc
  • 1 domini .club
  • 328 domini .com
  • 6 domini .info
  • 4 domini .me
  • 16 domini .name
  • 37 domini .net
  • 13 domini .org
  • 76 domini .ru
  • 386 domini .su
  • 22 domini .top
  • 1 dominio .onion

L’operazione è stata denominata “Infraud” per via dello slogan “In Fraud We Trust” adottato dall’organizzazione criminale, ma indagini interne evidenziano un collegamento diretto tra il termine “infraud” e specifici forum registrati con nome dominio “infraud.*” orientati al mercato nero delle carte di credito.

Da analisi svolte nell’ambito del traffico illecito delle carte di credito, il team di ricerca D3Lab ha rilevato evidenze che documentano ancora oggi la presenza e, plausibilmente, l’attività online dei forum individuati, mentre il forum “libertyreserve.com” indicato dai media come covo dei criminali risulta attualmente sottoposto a sequestro.

Istituti italiani coinvolti

Ulteriori analisi hanno evidenziato tracce a partire dal 2011 e 2012 di compravendita di carte afferenti istituti bancari italiani. Al momento ne sono stati individuati 8 tra istituti bancari e finanziari:

Di seguito la lista degli Istituti interessati:

  1. Unicredit banca roma bussiness
  2. Omissis
  3. Banca Nazionale del Lavoro
  4. Deutche bank milan
  5. Cartasi Spa
  6. ICCREA Banca Spa
  7. Banca Intesa Spa
  8. Key Client Cards & Solution Spa

Come si evince dagli screenshot, ad occuparsi della compravendita di carte italiane era proprio il napoletano “Danny Logort” molto attivo su diversi forum di settore. In particolare, sono state rilevate conversazioni nei forum dedicati tra quest’ultimo e utenti stranieri interessati all’acquisto di carte italiane. Nella conversazione “Danny Logort” faceva da garante per conto di un fornitore esterno, e forniva come referenza il fatto che questi lavorasse presso un hotel cinque stelle italiano, lasciando così intendere che l’acquisizione delle carte “fresche” avvenisse direttamente nel luogo di lavoro.

Si presume, dall’analisi delle fonti consultate nel deep web, che l’acquisizione delle carte poste in commercio avvenisse tramite l’utilizzo di dispositivi elettronici meglio noti come “skimmer” e non da attività di phishing o di hacking volto alla compromissione di siti web di transazioni o commercio online.

/da

Grande numero di domini di phishing Ad Hoc ai danni di banche ed enti Francesi

,

Uno dei servizi offerti da D3lab e’ quello di Brand Monitor, che effettua il monitoraggio giornaliero della registrazione di nuovi domini.

Si tratta, in molti casi, di nuovi domini con nomi molto simili a quelli dei siti legittimi con lo scopo di confondere, ad esempio, gli utenti di Home Banking per fargli credere di essere sul reale sito della banca ed mette in atto frodi.

I nomi di dominio comprendono in tutto o in parte il nome dell’ente da colpire spesso in unione ad altri termini leciti.

Oltre ai casi di banche italiane prese di mira dai phishers, e’ particolare notare il grande numero di nuovi domini ad-hoc rilevati giornalmente e che riguardano banche ma anche enti governativi francesi.

E’ probabile che una delle ragioni di questo interessamento dei phishers per la Francia sia dovuto alla grande diffusione in questa nazione di servizi internet tra cui l’Internet Banking.

Come si vede dal grafico, l’utilizzo nel 2017 di servizi Internet Banking in Francia e’ piu’ del doppio di quello italiano e di conseguenza anche il numero di potenziali utenti coinvolti in possibili attacchi di phishing risulta elevato.

In dettaglio possiamo vedere che nel mese di gennaio 2018 D3Lab ha rilevato numerosi nuovi domini ad-hoc relativi a diverse banche francesi tra cui

ma anche un grande numero di nuovi domini creati per colpire enti governativi tra cui

In ogni caso bisogna ricordare che per la maggior parte, non si tratta di phishing attivo ma di domini che se visualizzati nel browser mostrano messaggi di vario genere (dominio parcheggiato, sito in costruzione ecc….) in attesa di venire attivati in seguito dal phisher

ed anche

oppure

Nel momento in cui il clone viene poi attivato le pagine di phishing potrebbero essere inserite in directory accessibili solo attraverso il link di attacco presente nella email fraudolenta, mentre la home page del sito continuerebbe a presentarsi con il modello di default/parcheggio.

Una analisi del whois per i nuovi dom. FR rilevati, propone in buona parte nomi di registrant francesi

e spesso, un reverse whois, mostra che il registrant ha registrato piu’ di un nuovo dominio, sempre relativo a banche francesi

mentre sono utilizzati in molti casi anche i servizi di ‘privacy’ per nascondere i dati relativi al registrant.

/da

Nuova ondata di phishing via mail a danno di Amazon IT

Dalla fine del 2017 ad oggi abbiamo rilevato un incremento notevole di tentativi di frode a danno di Amazon Italia attraverso l’invio di messaggi di posta elettronica fraudolenta.

Solo nell’ultima settimana di Dicembre D3Lab ha rilevato più di un centinaio di mail fraudolente.

Dai screenshot delle eMail sottostanti potete notare come la grafica e il contenuto delle eMail varia invitando la vittima ad effettuare il login per evitare la sospensione del proprio conto, per verificare l’accumulo di punti con la possibilità di vincere i biglietti per il Gran Premio di Monza o per una informativa sulla privacy.

Questo slideshow richiede JavaScript.

Il collegamento ipertestuale presente nella mail svolge funzione di redirect portando i visitatori su una pagina clone richiedente le credenziali di accesso al portale e successivamente in una nuova pagina richiedente i dati della carta di credito:

 

La procedura si completa indirizzando l’utente sulla pagina ufficiale di Amazon Italia.

Complessivamente l’utente è invitato a fornire al Phisher:

  • Nome e Cognome;
  • Account Amazon;
  • Numero di Telefono;
  • Codice Fiscale;
  • Carta di Credito (PAN, CV2 e Scadenza).

Analizzando l’attacco di Phishing del 31 Dicembre 2017, attualmente ancora attivo, abbiamo individuato la posizione in cui i Phisher memorizzando i numeri di telefono delle vittime e monitorando tale risorsa ad oggi sono presente 597 numeri di cellulare Italiani distinti.

Complessivamente un solo attacco di Phishing che sfrutta l’immagine di Amazon ha tratto in inganno 597 vittime.

/da

Phishing ai danni di Deutsche Bank IT

Nel mese di Gennaio 2018 D3Lab ha già rilevato 25 nuovi attacchi di Phishing volti a colpire i clienti Deutsche Bank IT, una forte attività se confrontata ai 32 casi totali del 2017 o i 12 casi del 2016.

L’attività illecita avviene tramite mail dove il cliente viene invitato a confermare le proprie credenziali a causa di un’attività insolita; l’url proposto nella mail di phishing svolge una funzione di redirect portando il visitatore su una pagina fraudolenta differente da quella linkata nella mail.

 

 

Dai due screenshot sovrastanti si può notare come venga riportata la grafica e il logo del sito originale e la frode mira a carpire alle vittime le loro credenziali d’accesso sul portale.

L’analisi dei domini coinvolti ha permesso di individuare la presenza di Kit di Phishing ai danni di altri Istituti Bancari Italiani e ad oggi tutti i cloni rilevati risultano inattivi.

 

/da

Oltre 1500 Data Leak diffusi pubblicamente

Nella giornata di lunedì 29 gennaio 2018 D3Lab ha rilevato la condivisione sui canali underground di un nuovo data leak dalla dimensione complessiva di 2 GB contenente le credenziali estratte da oltre 1500 siti web di cui una trentina risultano essere Italiani.

A rendere interessante il dump è proprio la presenza dei dati estratti da siti di media/piccola entità. La divulgazione palesa l’esistenza di team criminali dediti a compromettere siti web in modo indiscriminato al solo fine di metterne in vendita i dati on-line.

Gli oltre 1500 file presenti nel dump contengono dati suddivisi non solo in base al sito di provenienza, ma anche in base a nazionalità e tipologia come visibile nel seguente screenshot

Come anticipato inizialmente sono diversi i siti web Italiani coinvolti in questo archivio, tra cui siti di annunci, incontri, alberghi, università, ecc…:

Vi è inoltre una directory in cui le credenziali vengono suddivise per nazionalità:

dove troviamo il file IT.txt con 417.214 record, relative ad utenze riconducibili a circa 9000 domini eMail italiani.

Sul web la notizia è stata trattata su Reddit Austria e da alcuni siti di cronaca Austriaca (Derstandard e Futurezone).

Attualmente il sito web (pxahb.xyz) sfruttato per la divulgazione dei dati è irraggiungibile, ma tramite la Cache di Google è possibile visualizzare la fonte originale.

/da

Servizio sms di spesa attivo: il criptico messaggio di Nexi

Da quando, il 10 novembre 2017, Nexi è stata creata i criminali si sono immediatamente mobilitati e già il 14 novembre D3Lab rilevava un primo phishing facente uso del brand/logo del nuovo ente.

Nelle settimane successive molti utenti Twitter ci hanno contattato richiedendo informazioni riguardo un sms ricevuto avente il seguente testo “Servizio SMS di spesa attivato“.

richiesta informazioni riguardo sms NEXI

 

Al momento D3Lab non ha alcuna forma di collaborazione attiva con Nexi, non abbiamo quindi conoscenza delle modalità e procedure operative dell’ente.

Alle prime richieste abbiamo cercato di rispondere con logica:

Nexi è la nuova società/servizio che gestisce le transazione con carte di credito per alcune banche (Popolare di Cremona, Popolare di Intra, Banca Popolare di Lecco, Popolare di Lodi, Banca Popolare di Luino e Varese, Popolare di Verona, l’elenco potrebbe non essere esaustivo). Presumo lei possa essere cliente di una delle banche coinvolte ed avere una loro carta di credito per la quale hanno attivato i servizi di sicurezza (sms al pagamento o prelievo, ecc…) L’sms da lei ricevuto non presenta link, quindi non è pericoloso. Saluti

Nexi è il nuovo servizio nato da CartaSi per la gestione delle carte di credito. Se l’sms non contiene link non c’è da allarmarsi e si può supporre che sia solo una notifica con cui Nexi avvisa il titolare di carta di credito CartaSì di aver attivato su di essa il servizio SMS che vi avvisa quando la usate per un pagamento.

Con sorpresa gli utenti a cui fornivamo questa spiegazione ci rispondevano di non essere possessori di carte di credito CartaSì di conti correnti presso gli istituti del Gruppo ICBPI (Popolare di Cremona, Popolare di Intra, Banca Popolare di Lecco, Popolare di Lodi, Banca Popolare di Luino e Varese, Popolare di Verona).

risposta utente nostra spiegazione sms Nexi

risposta utente nostra spiegazione sms Nexi (anche il giorno di Natale lavoriamo)

risposta utente nostra spiegazione sms Nexi

 

Quindi al fine di poter dare un’informazione il più corretta possibile agli utenti che ci contattavano il 26 dicembre scorso scrivevamo all’account Twitter ufficiale di Nexi richiedendo informazioni.

richiesta informazioni ad account Twitter Nexi

Essendo le richieste arrivate via Twitter abbiamo preferito veicolare il messaggio attraverso il medesimo canale, abbastanza certi che anche altri utenti avessero inoltrato le loro richieste verso tale destinatario, ipotizzando così che il social manager potesse avere una visione d’insieme del problema e dell’esigenza degli utenti di ricevere risposte.

Al momento non abbiamo ricevuto nessuna risposta.

Invitiamo Nexi a dare maggior evidenza al pubblico delle proprie modalità di comunicazione evitando in tal modo che eventuali lacune e spazi vuoti nella comunicazione possano essere abusati dai criminali per la realizzazione di frodi.

/da

Intesa Sanpaolo bersaglio nel Week End dell’Epifania

Durante il week end dell’Epifania abbiamo rilevato un importante attacco di Phishing ai danni degli utenti Intensa Sanpaolo, attacco effettuato mediante la creazione di 24 dominii Ad Hoc con valido certificato SSL.

I dominii coinvolti nel recente attacco ai danni di Intesa Sanpaolo:

  1. attivasistema[.]site
  2. confermasistema[.]site
  3. creditcardassistenza[.]site
  4. creditcardgestisc[.]site
  5. creditcardregistra[.]site
  6. datigruppo[.]site
  7. nuovosistema[.]site
  8. relaiunicardservizio[.]site
  9. relaiunicredit[.]site
  10. relaiunicreditcardservizi[.]site
  11. relaiunicreditdati[.]site
  12. relaiunidati[.]site
  13. serviziinformazioni[.]site
  14. servizioelettronico[.]site
  15. servizioverified[.]site
  16. serviziutili[.]site
  17. sicurocertificato[.]site
  18. sicurogruppo[.]site
  19. sicuroinformazioni[.]site
  20. sicuropropria[.]site
  21. unicardassistenza[.]site
  22. unicardportale[.]site
  23. unicardservizio[.]site
  24. unicardsicurezza[.]site

Le possibili vittime hanno ricevuto tra sabato 6 e domenica 7 Gennaio una falsa eMail che riporta il classico avviso di avvenuto blocco della carta di credito e l’invito a seguire la procedura online per effettuare lo sblocco della carta. eMail che contiene palesi errori, come: “la tua carta è stata fermata per ulteriori attività”.

L’intento dei Phisher è quello di carpire i dati della carta di credito delle vittime, il codice di sicurezza e più codici della chiave OTP O-Key. Questi dati permettono al Phisher di effettuare immediati acquisti con le carte sottratte agli utenti. Di seguito trovate una carrellata di screenshot del kit di Phishing sfruttato.

Phishing_IntesaSanPaolo_Web_02
Phishing_IntesaSanPaolo_Web_03
Phishing_IntesaSanPaolo_Web_04
Phishing_IntesaSanPaolo_Web_01
Phishing_IntesaSanPaolo_Web_05

Invitiamo come sempre gli utenti alla massima attenzione nella lettura delle eMail e nell’identificazione di URL/dominii non riconducibili all’istituto bancario.

/da
Booking.com prima pagina clone

Phishing ai danni di Booking.com

Booking.com phishing eMail

Booking.com è una nota piattaforma, sviluppata in Olanda, attraverso la quale gli amanti dei viaggi possono organizzare i propri tour prenotando sistemazioni in alberghi, appartamenti, B&B, ecc..

Nella giornata odierna D3Lab ha rilevato una prima mail, Italiana, di Phishing rivolta a colpire nuovi possibili utenti della piattaforma.

La mail di attacco, che potete osservare nell’immagine soprastante, non mira infatti a colpire chi sia già utente Booking.com, ma proponendo un bonus di 200$ invoglia nuovi utenti ad iscriversi al servizio. L’email fraudolenta, partita da un sistema MS Windows, era strutturata con corpo messaggio in codice html codificato in base64.

L’attacco, portato con la modalità del redirect, vedeva l’impiego di due diversi siti web presumibilmente compromessi, uno per il file di redirect linkato nella mail ed uno per il clone. Al momento le pagine clone non risultano raggiungibili.

La prima pagina di phishing richiedeva i dati base per l’apertura di un account

Booking.com prima pagina clone

mentre nella seconda e terza pagina contenevano la richiesta dei dati della carta di credito dell’utente.

Booking.com seconda pagina cloneBooking.com terza pagina clone

Questo ennesimo tentativo di phishing a danno di enti non bancari evidenzia la semplicità con la quale qualsiasi servizio, per il quale sia giustificabile la richiesta di dati di pagamento o altri dati sensibili ed appetibili, possa diventare un target per i criminali.

Si consiglia sempre di osservare gli url celati dai link nelle email ricevute e di ricercare on-line i reali riferimenti/domini  dei siti/servizi di interesse, tralasciando gli annunci sponsorizzati/pubblicitari che già in passato sono stati abusati per specifici attacchi di phishing.

 

/da

Phishing ai danni di Sky Italia

Lunedì 11 Dicembre abbiamo rilevato la prima attività di Phishing ai danni di Sky Italia, attività svolta da parte di un team di Phisher molto attivo in ambito Italiano che è solito sfruttare redirect mediante pagine indicizzate dal motore di ricerca Google.

Come potete visualizzare dagli screenshot riportati l’intento dei criminali è quello di carpire il profilo Sky ID e la Carta di Credito degli utenti oltre a codice fiscale, indirizzo eMail e relativa password.

L’attacco è veicolato mediante un sito web compromesso, sito dotato di un valido certificato SSL emesso lo scorso 14 Febbraio da Let’s Encrypt. Il certificato HTTPS è sempre più sfruttato in attività di Phishing in quanto la vittima tende a fidarsi maggiormente del contenuto visualizzato. Uno stereotipo errato come abbiamo già dimostrato più volte in passato. L’implementazione del certificato SSL, anche gratuito, su tutti i siti web è fondamentale per garantire l’integrità della comunicazione tra il web server e l’utente ma altresì importante sottolineare che non garantisce la leicità del contenuto visualizzato.

 

Ad oggi l’attacco di Phishing non è più attivo, ricordiamo comunque agli utenti di prestare attenzione alle comunicazioni che si ricevono.

/da

Offuscamento IPv4 per attività di Phishing ai danni di Poste

Dal mese di Ottobre 2017 i criminali informatici (Phisher) che operano in ambito Italiano ai danni di Poste Italiane stanno sfruttando la tecnica di offuscamento dell’URL di Phishing convertendo l’indirizzo IP contenuto nell’url in formato decimale. Questa tecnica, come vedremo, gli permette di eludere la blacklist di PhishTank.

 

La vittima riceve la seguente eMail:

Gentile Cliente,

Dal 25° novembre 2017 non potrai utilizzare il tuo conto PostePay se non hai attivo il nuovo sistema di sicurezza web.

Il nuovo sistema di Sicurezza Web PostePay e una soluzione innovativa che garantisce maggiore sicurezza e affidabilita per le operazioni dispositive con PostePay effettuate sui siti online.

Il nuovo sistema per l`autorizzazione delle operazioni di pagamento effettuate con PostePay sui siti online,prevede l`utilizzo di due strumenti:

1. Dati di carattere personale.

2. Informazioni fiscali.

L`attivazione e semplice,gratuita e richiede 1 minuto.

Le alleghiamo la documentazione necessaria per attivare la protezione.

Cordiali Saluti,

Poste Italiane

 

Email in cui l’utente trova in allegato un file HTML contente sole quattro righe di codice che hanno il compito di redirigere l’utente su una pagina di Phishing:

L’IP 3414353538 visualizzato nel sorgente dell’allegato non sembra a prima vista reale poiché comunemente un indirizzo IPv4 viene espresso in quattro terne XXX.XXX.XXX.XXX (dove ogni terna xxx varia tra 0 e 254). Questo potrebbe far pensare ad un errore del Phisher o all’intervento di un antivirus che ha “troncato” eventuale contenuto malevolo nella comunicazione eMail.

Ma realmente si tratta di un indirizzo valido e correttamente interpretato dai comuni Browser, infatti in base al RFC 780 gli indirizzi IPv4 possono essere rappresentati anche in forma Decimale, Binaria o Esadecimale permettendo anche la concatenazione di più rappresentazioni.

L’IP 3414353538 potrà quindi essere rappresentato come segue:

  • 203[.]130[.]230[.]130 (formato convenzionale, parentesi quadrate da rimuovere)
  • 11001011100000101110011010000010 (formato binario)
  • 0xcb82e682 (formato esadecimale)

Il noto portale PhishTank dedicato alle segnalazioni di Phishing non è attualmente in grado di convalidare segnalazioni che sfruttano l’offuscamento dell’indirizzo IP. Nella segnalazione #5344072 possiamo notare come nonostante lo screenshot della pagina di Phishing sia stato acquisito correttamente non è possibile votare la veridicità della segnalazione perché la pagina web è irraggiungibile: “This suspected phishing site is unavailable…” vanificando pertanto l’efficacia di questo portale.


Assodato quindi che una non corretta validazione dell’indirizzo ip possa portare ad un errore di una applicazione (nel caso specifico un portale web) è ipotizzabile che la medesima casistica se non contemplata e correttamente gestita possa rendere inefficaci eventuali black list implementate su sistemi anti-spam/firewall.

/da