Venerdì 10 Novembre il CEO Paolo Bertoluzzo presentava alla stampa Nexi, la nuova azienda italiana che ha l’obiettivo di costruire, in partnership con le Banche, il futuro dei pagamenti digitali in Italia. Nexi nasce dall’esperienza di Cartasì e ICBPI (Popolare di Cremona, Popolare di Intra, Banca Popolare di Lecco, Popolare di Lodi, Banca Popolare di Luino e Varese, Popolare di Verona).

Dopo nemmeno 48h dalla presentazione di Nexi rileviamo la prima campagna di Phishing ai danni del marchio e degli utenti, una importante tempestività da parte dei Phisher a sottolineare ancora una volta come il Phishing sia ad oggi una frode online molto attiva ed in costante evoluzione.

Ricordiamo infatti che secondo il rapporto ClusIT 2017 cresce del 117% nell’ultimo anno la “guerra delle informazioni”, a quattro cifre l’incremento degli attacchi compiuti con tecniche di Phishing e Social Engineering (+1.166%). La sanità è il settore più colpito (+102%), con GdO (+70%), Finance e Banche (+64%) e Infrastrutture Critiche (+15%). Aumentano gli attacchi verso Europa e Asia.

L’attività illecita impostata dal Phisher ha come scopo l’acquisizione dei dati della Carta di Credito oltre a username, password e Codice Fiscale della vittima. Di seguito potete visionare uno screenshot integrale dell’intera pagina di Phishing.

 

 

 

 

Unicredit quest’anno è vittima di una forte campagna di Phishing che si svolge puntualmente durante il Week End con l’utilizzo di dominii Ad Hoc registrati appositamente per effettuare la frode. Dominii che come vedrete successivamente sfruttano similitudini con il nome dominio originale.

Ieri, 2 Novembre 2017, abbiamo rilevato la registrazione di 17 nuovi probabili dominii sfruttabili per una nuova campagna di Phishing ai danni proprio di questo Istituto Bancario, oggi 3 Novembre 2017 la campagna di Phishing ha avuto inizio sfruttando attualmente 14 dei 17 dominii rilevati.

Le pagine di Phishing vengono nascoste in una sottodirectory dedicata, in fase di scrittura dell’articolo la directory è denominata “online-retail” ma durante l’intero week end per ovviare alle BlackList il Phisher rinomina la directory. Attraverso Archive.is abbiamo effettuato una copia di una pagina di Phishing.

I dominii attualmente sfruttati sono:

  • unicredititareaclientionline[.]info
  • sicurezzaobbligatoriounicreditdati[.]info
  • servizionlinetuounicreditdati[.]info
  • servizioinformativoteunicreditcard[.]info
  • servizieinternetunicreditdati[.]info
  • informazionieserviziunicreditline[.]info
  • unicreditgruppoprotezionetuodati[.]info
  • riabilitaretuadatiunicredit[.]info
  • unicreditgruppoprotezione[.]info
  • riabilitaretuaunicredit[.]info
  • unicreditcartaregistratuoprofilodati[.]info
  • regitradatiline[.]info
  • verificadatiline[.]email
  • verificadatiline[.]site

[AGGIORNAMENTO]

Alle 09:30 UTC del 3 Novembre abbiamo rilevato il coinvolgimento di altri 6 dominii:

  • onlinedativerifica[.]com
  • onlinecontrolladati[.]site
  • accessoservonline[.]com
  • onlinedativerifica[.]site
  • onlinecontrolladati[.]com
  • accessoservonline[.]site

 

Da Febbraio ad oggi sono stati registrati 126 dominii Ad Hoc per effettuare Phishing ai danni di Unicredit, con una distribuzione mensile rappresentata dal seguente grafico

 

L’intento dei Phisher è quello di acquisire i dati delle Carte di Credito delle vittime oppure le credenziali di accesso all’Home Banking, nell’attacco in corso viene inviata all’utente l’eMail che vedete in apertura nella quale lo si invita ad attivare un servizio gratuito per migliorare la sicurezza della carta di credito. L’utente viene poi invitato successivamente a digitare non solo i dati della propria carta ma anche dati personali quali:

  • Nominativo;
  • Codice Fiscale;
  • Data di Nascita;
  • Codice Postale.

Digitate le informazioni principali viene richiesto il codice OTP del proprio token fisico o mobile, codice che verrà richiesto cinque volte così da garantire al Phisher cinque utilizzi consecutivi della propria carta di credito.

Di seguito vi riportiamo una galleria di screenshot con le Pagine di Phishing attualmente presenti in uno dei dominii sopra citati.

 

Dal 20 Ottobre abbiamo rilevato una nuova campagna di Phishing ai danni di Cariparma (Crédit Agricole) che vede fino ad ora coinvolti 3 dominii Ad hoc e un sito compromesso.

I dominii creati Ad Hoc sono:

  • bcariparma[.]it
  • mepos[.]it
  • cari-parma[.]it

I dominii creati Ad Hoc vengono registrati volutamente con similitudini rispetto al dominio originale o con parole chiavi associabili alla banca, in questi due specifici casi il primo dominio introduce una “b” come variazione al dominio ufficiale, la lettera “b” può essere associata alla parola “banca” ingannando l’utente che visita il sito web. Nel secondo dominio viene sfruttata la parola “pos” che è il device che gli esercenti sfruttano per i pagamenti elettronici (Bancomat, Carte di Credito, NFC, Apple Pay, ecc) ed è quindi ipotizzabile che la diffusione del secondo dominio sia stata eseguita tramite eMail a Negozianti del territorio Italiano. Infine, il terzo dominio, introduce semplicemente un trattino per simulare il sito originale.

I due dominii sono stati registrati da due differenti persone ma come abbiamo già avuto modo di illustrare in passato i registranti dei dominii Ad hoc per campagne di Phishing sono spesso nominativi di ex vittime di Phishing.

L’intento del Phisher è quello di carpire le credenziali del Home Banking e successivamente richiedere la conferma del numero di cellulare e un PIN, quest’ultimi due dati permettano al truffatore di eseguire illecite disposizioni dal conto corrette della vittima (Bonifici SEPA, ricariche telefoniche, ecc).

Al fine di eludere le principali BlackList (Google, Firefox, Cisco, Netcraft) i dominii Ad Hoc sono visitabili esclusivamente tramite IP Italiano, un utente di un altro stato accedendo al sito viene reindirizzato ad YouTube ed in particolare al video “Rádio Comercial | Música de Natal 2015“.

Potete apprezzare tale filtro tramite l’acquisizione da noi eseguita mediante Archive.is, la pagina di richiesta Numero di Cellulare e PIN illustrata nel secondo screenshot tramite l’IP Olandese di Archive.is ha acquisito il video di YouTube.

Ricordiamo pertanto agli utenti di prestare la massima attenzione nella quotidiana navigazione web.

Nel tardo pomeriggio del 5 Settembre abbiamo rilevato una nuova campagna di Phishing svolta a sfavore degli utenti di Virgilio eMail, Virgilio è un noto portale di Italiaonline che storicamente ha permesso a molti utenti Italiani di ottenere una casella di Posta Elettronica gratuitamente. Italiaonline detiene inoltre il Brand di Libero Mail, altro portale molto sfruttato.

L’attacco di Phishing diffuso tramite eMail avvisa l’utente che è in fase di rilascio una nuova versione di Virgilio.it ed invita l’utilizzatore ad effettuare un Upgrade affinché non vengano persi i dati e le eMail “sul proprio conto”.

Selezionando il link per l’Upgrade si viene riportati in un dominio creato Ad-hoc per effettuare la campagna di Phishing, il dominio è: my-virgilio[.]com.

La pagina di login presente nel dominio, che vedete nello screenshot di apertura, richiede all’utente la propria eMail e la propria password. Una volta digitate tali credenziali la vittima viene reindirizzata al legittimo portale di Virgilio eMail.

Il palese intento di questa campagna di Phishing è quello di raccogliere le credenziali delle vittime, credenziali che possono essere sfruttate per accedere a dati personali o  per effettuare ulteriori campagne di Phishing.

Il dominio in analisi presenta i seguente Whois:

Name: Grazia Martella
Address: PALERMO
City: PALERMO
State: PALERMO
ZIP Code: 02154
Email: [email protected]
Phone: +39.000000000

Come spesso accade per i domini creati Ad-hoc per campagne di Phishing i dati citati nel Whois sono casuali o riportano dati di precedenti vittime. Infatti in questo specifico caso il CAP di Palermo non è 02154 come citato ma bensì compreso tra 90121 e 90151.

Invitiamo come sempre gli utenti a prestare la massima attenzione e di non comunicare alcun dato personale

Nella prima metà del mese abbiamo rilevato il primo caso di Phishing ai danni degli utenti Italiani di Netflix, quest’ultimo è un ente molto colpito a livello internazionale ma per la prima volta vediamo in maniera distinta un caso in lingua Italiana. Inoltre il caso di Phishing è stato ospitato su un sito internet vulnerabile e la directory di destinazione era altresì denominata “Netflix-Italia”.

Una campagna ai danni di Netflix mira a sottrarre alla vittima due distinte tipologie di informazione private, inizialmente le credenziali che vengono rivendute nei BlackMarket per offrire la visione dei contenuti a basso prezzo, quindi i dati della carta di credito utili invece per effettuare addebiti illeciti sulla carta della vittima.

La campagna di Phishing è stata diffusa a mezzo eMail e ad oggi non è più attiva, invitiamo comunque gli utenti alla massima attenzione.

Banca_Popolare_Sondrio_Phishing_01.png

Nel mese di Giugno 2017 abbiamo rielvato una attività di Phishing svolta ai danni dei correntisti dei Banca Popolare di Sondrio, l’intento dei criminali è quello di carpire inizialmente l’username e il PIN della vittima. Inserite queste due prime credenziali viene poi richiesto un codice OTP, tramite queste tre indicazioni il Phisher è in grado di effettuare operazioni sul conto corrente della vittima come Bonifici Bancari o Ricariche Telefoniche.

Banca_Popolare_Sondrio_Phishing_02.png

La diffusione dell’attività di Phishing è avvenuta mediante eMail, la quale è stata realizzata in maniera grossolana e riporta molti dati contrastanti. Infatti troviamo la citazione della Banca Popolare di Sondrio solamente nella mail mittente, mentre l’oggetto riporta una citazione all’ente Equitalia e infine nel corpo del messaggio troviamo anche qui una citazione ad Equitalia ma anche a Unicredit Banca.

Banca_Popolare_Sondrio_Phishing_03.png

La Banca Popolare di Sondrio riceve, sebbene con frequenza contenuta, costantemente attacchi di Phishing dal 2012, ricordiamo quindi ai correntisti di questo istituito di prestare la massima attenzione.

Intesa San Paolo dall’autunno dello scorso anno ha pubblicato e costantemente aggiornato una nuova interfaccia grafica del proprio portale di Home Banking lasciando comunque all’utente la possibilità di decidere se accedere alla vecchia interfaccia o alla nuova.

Dai primi giorni di Luglio fino ad oggi abbiamo rilevato diverse campagne di Phishing ai danni dell’istituto bancario che replicano la nuova interfaccia grafica, il Phisher non ha solamente aggiornato la grafica ma è ora in grado di verificare le credenziali immesse dalla vittima in tempo reale così da evitare l’acquisizione di dati errati.

La campagna di Phishing viene diffusa tramite una eMail medesima alla seguente

Invitiamo come sempre gli utenti alla massima attenzione!

 

Dal 21 Luglio è in corso una campagna di Phishing ai danni di Vodafone Italia, gli utenti vengono ingannati da una promozione molto invitante a ricaricare 20euro il proprio numero di cellulare per ottenere in cambio dall’operatore il traffico internet illimitato per 6 mesi! Visto il periodo estivo molti utenti sono interessati ad aumentare il traffico internet incluso nella propria offerta per poter condividere in totale libertà sui Social Network le foto o i video delle vacanze!

I Phisher sfruttano il desiderio dei clienti di aver maggior traffico internet per attrarli in trappola, realmente ricaricando 20euro non si ottiene traffico internet illimitato e neanche 20euro di traffico! Bensì si stanno fornendo i dati della propria Carta di Credito ad un team di criminali! Carta di Credito che verrà sfruttata per effettuare addebiti illeciti decisamente superiori ai 20euro.

L’eMail, che vi mostriamo di seguito, è scritta in un Italiano corretto anche se la grafica e l’allineamento del testo lasciano a desiderare. Da sottolineare inoltre che per rafforzare la veridicità del messaggio citano il programma a premi Vodafone You, un programma dismesso da qualche anno ma certamente non tutti gli utenti sono così attenti nel seguire tutte le novità dell’operatore telefonico.

La prima pagina del kit di Phishing è molto similare alla eMail ma va a rimarcare graficamente i “vantaggi” che si ottengono con una ricarica, ovvero traffico illimitato per 6 mesi!

Simulando l’inserimento dei dati è possibile notare che il Phisher obbliga l’utente a digitare i dati della Carta di Credito, nonostante graficamente vediamo l’opzione di pagamento tramite PayPal realmente tale possibilità è inibita. Successivamente alla digitazione dei propri dati viene mostrata una pagina di riepilogo in cui viene riportato il taglio della ricarica selezionato, il numero di cellulare e i dati della Carta di Credito.

Invitiamo come sempre gli utenti alla massima attenzione, questo attacco di Phishing seppur fatto bene sfrutta un dominio facilmente identificabile come falso.

Le attività di Phishing vengono svolte non solo con l’intento di acquisire i dati bancari delle vittime come spesso vediamo ma anche credenziali di accesso ai più diversi servizi, lo screenshot di apertura ne è per l’appunto un esempio. Il porta immobiliare Casa.it è vittima di una campagna di Phishing dallo scorso 18 Luglio, la campagna con la creazione di un opportuno dominio ad-hoc vuole ottenere le credenziali di accesso del portale.

Il kit costruito dai Phisher è in grado, come visibile nello screenshot successivo, di verificare le credenziali immesse. Se non corrette viene riportato l’errore “Dati di accesso non validi”.

Se invece la vittima digita credenziali corrette si riceve un messaggio di conferma e si viene reindirizzati al sito autentico www.casa.it

I Phisher hanno quindi ottenuto le credenziali che possono essere sfruttate per modificare annunci immobiliari già presenti o inserirne di nuovi.

Nel periodo estivo gli annunci di affitto di case vacanze aumentano, se un annuncio legittimo venisse modificato citando un contatto telefonico/eMail alternativo cosa potrebbe succedere? Il criminale sostituendosi al legittimo proprietario potrà richiedere una caparra su un conto corrente alternativo per la prenotazione dell’appartamento, frodando pertanto la vittima che non solo ha perso la caparra ma anche la prenotazione dell’appartamento.

Serverlplan_Phishing.png

 

Sempre più spesso rileviamo campagne di Phishing ai danni di provider Italiani, lo scorso Marzo vi riportavamo un attacco mirato a 4 provider Italiani. Recentemente abbiamo rilevato una nuova campagna fraudolenta ai danni di Serverplan, altro noto provider Italiano partner di cPanel & WHM per l’erogazione dei servizi in Hosting.

I Phisher hanno per l’appunto clonato la pagina di login della WebMail di cPanel, nonostante non siano presenti loghi o marchi di Serverplan nella pagina di Phishing si desume che l’attacco è rivolto ai loro clienti dall’url che incorpora la sottocartella denominata “serverplan” ed inoltre testando l’inserimento di credenziali il form richiama tramite chiamata POST il file “lanciola.php” che, dopo aver ricevuto e gestito le credenziali, effettua un redirect al sito https://www.serverplan.com.

Di seguito un estratto del comando curl sullo script PHP che ha il compito di ricevere le credenziali e reindirizzare la vittima sul sito ufficiale

$ curl -Iv http://watchmanreports[.]com/serverplan/lanciola.php
* Hostname was NOT found in DNS cache
* Trying 184.154.216.242…
* Connected to watchmanreports[.]com (184.154.216.242) port 80 (#0)
> HEAD /serverplan/lanciola.php HTTP/1.1
> User-Agent: curl/7.35.0
> Host: watchmanreports[.]com
> Accept: */*
>
< HTTP/1.1 302 Moved Temporarily
HTTP/1.1 302 Moved Temporarily
* Server nginx is not blacklisted
< Server: nginx
Server: nginx
< Date: Wed, 12 Jul 2017 09:54:12 GMT
Date: Wed, 12 Jul 2017 09:54:12 GMT
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 0
Content-Length: 0
< Connection: keep-alive
Connection: keep-alive
< X-Powered-By: PHP/5.4.45
X-Powered-By: PHP/5.4.45
< Location: https://www.serverplan.com
Location: https://www.serverplan.com
< X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
X-Content-Type-Options: nosniff
< X-Nginx-Cache-Status: MISS
X-Nginx-Cache-Status: MISS

<
* Connection #0 to host watchmanreports[.]com left intact

Acquisite le credenziali delle caselle eMail i Phisher oltre ad accedere ad eventuali dati sensibili contenuti nella casella di posta elettronica, possono estrapolare nuovi contatti ed inviare messaggi fraudolenti.

Invitiamo gli utenti alla massima attenzione.