Come scrivevamo nel precedente articolo i predatori son tornati e lo hanno fatto alla grande mettendo in atto in pochi giorni tentativi di phishing a danno di IngDirect, Eni/Agip, Poste Italiane, un operatore di telefonia mobile ed oggi Mediaworld! Sempre sfruttando nuovi domini ad-hoc!
Il Recorder Team, cosi lo abbiamo nominato, colpì la grande distribuzione già in passato con una pesante campagna di phishing a danno di Carrefour e con questo attacco sembra orientarsi nuovamente verso la GDO ed in particolare verso gli articoli tecnologici, rappresentanti un mercato sempre vivace.
Il tentativo di Phishing è stato rilevato e segnalato con un primo tweet da parte di @illegalFawn, ricercatore particolarmente attivo nell’identificazione di questi particolari tipi di frode.
La frode è stata rilevata attraverso la ricezione di un messaggio email apparentemente inviato da Mediaworl contenente l’offerta per l’acquisto di un iPhone con un elevatissimo sconto.
Il clone realizzato dai criminali è risultato essere in hosting sul medesimo provider impiegato per i casi più recenti ed essere posizionato nello spazio web del dominio mediaworlld.com creato ad hoc dai criminali sfruttando un typosquatting, la doppia “l” in WORLLD, che facilmente passa inosservato all’occhio dell’utente frettoloso, concentrato principalmente ad osservare l’offerta presente sulla pagina web.
L’analisi del clone ha permesso di rilevare come tutte le risorse impiegate (css, immagini, ecc..) siano incluse nell’hosting, mentre i link facciano tutti riferimento all’effettivo sito web di MediaWorld.
Il tentativo di frode si basa sulla scelta da parte dell’utente di un articolo tecnologico presente sulla pagina principale del clone
Cliccando su prosegui l’utente viene portato successiva pagina in cui gli sono richiesti i dati della carta di credito, visualizzando il costo di acquisto dell’articolo prescelto (lo screenshot presenti in questo post provengono da prove diverse).
E’ interessante notare come questa grafica fosse già impiegata nei cloni impiegati nei phishing a danno di Carrefour (vedasi terza immagine post relativo) , con l’immagine del retro della carta di credito che compare solo all’atto di completare il form relativo al cvv.
Inseriti i dati delle carta di credito l’utente approda ad una pagina di riepilogo e conferma
L’ultima pagina conferma l’avvenuto pagamento ed inoltro dell’ordine.
Dopo poco all’indirizzo mail inserito nel form della pagina in cui erano richiesti i dati di carta di credito, arriverà la mail di conferma dell’ordine.
L’analisi degli headers ci fornisce alcune informazioni a conferma del dominio mittente e del path locale dello script php incaricato di eseguire l’invio del messaggio.