whois query

In seguito all’attacco rilevato nei giorni scorsi a danno di Cassa di Risparmio di Cesena, D3Lab ha eseguito un’analisi approfondita riguardante il dominio coinvolto.

Analizzando l’host si rileva che è stato creato in data 30-07-2015 come evidenziato nello screenshot sottostante e che risulta essere posizionato su un server ecuadoregno. Continua a leggere

Capita abbastanza spesso che l’azione di monitoraggio D3Lab dei casi di phishing rilevi files, quasi sempre in formato txt, contenenti dettagli sulla connessioni al clone da parte di chi è caduto nel phishing.
Detti files sono raggiungibili e scaricabili direttamente dal browser e presentano una ampia varietà di dati che vanno da un semplice elenco di indirizzi IP di chi ha visitato il clone di phishing (a volte con il dettaglio della geo-referenziazione) Continua a leggere

Il monitoraggio di phishing internazionale  ha consentito d individuare nella prima mattina odierna un tentativo di frode a danno di un nuovo ente, la Société Marseillaise de Crédit, banca principale del sud est della Francia con oltre 175 filiali di proprietà della francese Crédit du Nord.

20160810085510

Continua a leggere

Le monitorage du phishing international a permis de relever aujourd’hui en début de matinée une tentative de fraude aux dépens d’une nouvelle institution, la Société Marseillaise de Crédit, l’une des principales banques du sud est de la France où sont ouvertes 175 filiales appartenant à la banque française Crédit du Nord.

20160810085510
Continua a leggere
pannello di gestione credenziali rubate

Già in passato avevamo parlato (Phishing con operatore per aggirare i token otp) di kit di phishing che permettevano all’operatore della struttura criminale di interagire con la vittima sfruttando il token otp in tempo reale.

Questa tipologia di kit, rilevata nell’autunno 2014, è nel tempo stata impiegata a danno dei clienti di Banca Intesa, Cariparma, Ubi Banca. Continua a leggere

Cassa di Risparmio di Cesena Phishing

Le attività svolte dal D3Lab nel rilevamento e contrasto al Phishing hanno permesso di scoprire l’utilizzo fraudolento dei loghi e del nome di un nuovo ente, Cassa di Risparmio di Cesena, ai danni degli utenti customers.

Il sito clone che vedete nell’immagine di apertura permette al Phisher di raccogliere le credenziali (Codice ID e Password) della vittima che ha precedentemente ricevuto una eMail di richiesta conferma dati. A differenza del sito originale che nel footer presenta l’orario corrente, nel clone è presente la data fissa del 1 Agosto 2016, probabile è la data in cui il Phisher ha clonato il sito autentico e quindi creato il kit di Phishing.

 

2016.08.03_Screenshot_1000450

 

Digitate le credenziali l’utente viene reindirizzato al file check3.php tramite una chiamata POST contenente le credenziali digitate, tale file ha presumibilmente il compito di inviare a mezzo eMail le credenziali al Phisher e successivamente re-indirizzare il visitatore al sito ufficiale dell’istituito di credito.

 

2016.08.03_Screenshot_1003240

 

Come sempre invitiamo gli utenti alla massima attenzione quando pervengono tramite eMail o SMS richieste di conferma dati.

Il monitoraggio D3Lab permette di rilevare sempre numerose mails di phishing che puntano a false pagine di login a servizi online di webmail quali Yahoo, Google ecc… ma anche a specifici servizi di gestione mailbox in lingua italiana, come l’attuale spam ai danni di TIM – Alice mail.

Questa è una mail di phishing TIM ricevuta nella primissima mattina di ieri, lunedì 1 agosto,

1mail

Continua a leggere

find_hero

 

Daniele, il Co-Founder di Dimension srl, ha recentemente raccontato sul suo profilo Facebook di aver subito un tentativo di Phishing a seguito del furto del suo smartphone iPhone.

Riepiloghiamo nel dettaglio l’accaduto, il 22 Luglio Daniele è andato al concerto dei The Chemical Brothers a Milano durante l’evento gli è stato sottratto l’iPhone che teneva in tasca si è accorto del furto grazie all’avviso di mancato collegamento con l’Apple Watch che portava al polso. Il concerto è ormai stato rovinato e trascorre tutta la sera a guardare l’orologio con la speranza di riprendere il segnale Bluetooth del cellulare con l’aspettativa di individuare nelle vicinanze il suo telefono e forse anche i malfattori.

Uscendo dal concerto Daniele si preoccupa di localizzare tramite il servizio Trova iPhone il proprio dispositivo, ma purtroppo il telefono non viene individuato probabilmente perché hanno provveduto a spegnerlo. Conseguentemente decide di attivare la modalità Smarrito attraverso il portale iCloud, tale modalità permette di bloccare il dispositivo con un codice di quattro cifre, far apparire un messaggio personalizzato nella lock-screen e tenere traccia di eventuali future posizioni del telefono se per caso venisse riacceso.

ios9-lost-mode-track-device

In questo stato l’iPhone è inutilizzabile. Anche un eventuale ripristino del dispositivo tramite iTunes impedirebbe ai ladri di completare la procedura di attivazione, Apple ha infatti introdotto da iOS 8 un ulteriore step di sicurezza per prevenire la riattivazione. Se sull’iPhone è attiva la funzione Trova iPhone e un utente ripristina il dispositivo alla riaccensione vengono chieste le credenziali Apple dell’utente (username, password ed eventuale procedura Two Factory Authentication). Anche Android Marshmallow ha introdotto tale novità.

find_activation_lock

Daniele fortunatamente aveva attivato il Trova iPhone e quindi i ladri erano impossibilitati nel completare la procedura di ripristino del telefono per poi usarlo/rivenderlo. Per poter completare la procedura necessitavano delle credenziali di Daniele, credenziali che hanno tentato di ottenere mediante il Phishing via SMS, l’iPhone come ormai altri smartphone ha una modalità Emergenza che se correttamente configurata attraverso l’applicazione Salute permette di mostrare la propria Cartella Clinica nella quale è possibile memorizzare diverse informazioni come la propria data di nascita, altezza, peso, gruppo sanguigno e i contatti per l’emergenza. Ovvero quei contatti che un soccorritore dovrebbe chiamare in caso di urgenti necessità.

iPhone medical emergency contact

 

Daniele aveva correttamente configurato la modalità d’emergenza inserendo il numero di cellulare della compagnia, tale numero era l’unica informazione utile ai criminali per effettuare un attacco di Phishing e rubare l’ID Apple e la Password. Attacco che non si è fatto attendere, dopo alcuni giorni sul cellulare della compagna è arrivato il seguente SMS che riporta le medesime caratteristiche e modello dell’iPhone di Daniele il che esclude ogni eventuale coincidenza.

 

SMS Phishing Apple

Il testo del messaggio è il seguente:

Il tuo smarrito iPhone 6S Oro 64GB è stato localizzato oggi alle 03:14pm on July 26, 2016. Controllare la posizione su http://lcloud.lt/?location=278d3

Questo e un messaggio automatico da Apple™

Analizzando il messaggio notiamo immediatamente degli errori grammaticali come “il tuo smarrito”, inoltre l’orario e la data vengono espressi nel formato Inglese riportando il PM e anteponendo il mese al giorno, un corretto messaggio in Italiano avrebbe riportato la data nel formato 24H e il giorno prima del mese. Analizzando invece il sito internet indicato ci accorgiamo che è stata sfruttata la somiglianza grafica del carattere i con il carattere l per far credere all’utente di accedere ad un sito autentico, se riportiamo in maiuscolo il nome LCLOUD notiamo subito l’evidente differenza rispetto al nome originale ICLOUD ma scrivendo la elle (l) in minuscolo è facile confondere l’utente distratto che leggerà nella fretta una i.

Visitando il sito LCLOUD.LT appare un perfetto clone del portale Apple, clone che si adatta automaticamente alla lingua del visitatore come abbiamo già visto per i casi ai danni di PayPal.

Un whois sul dominio di Phishing ci riporta che è stato registrato il 18 Maggio 2016 dall’utente Konstantin Verhovoda avente eMail [email protected], ma come abbiamo già evidenziato in passato durante la registrazione di un dominio non è necessario fornire i documenti di identità e quindi tali informazioni sono facilmente falsificabili.

Notiamo inoltre che il dominio in poco più di 2 mesi ha cambiato due volte la configurazione DNS e il registrante è il provider EPAG.

Se Daniele fosse cascato nell’attacco di Phishing i criminali potevano completare la procedura di ripristino e successiva attivazione e quindi poter vendere o usare il telefono sottratto al concerto.

Ma in quanti ci cascano? Vale veramente la pena ai criminali organizzare un attacco di Phishing?

Non possiamo darvi una risposta certa, ma analizzando l’intera vicenda sicuramente potrete trarre le vostre conclusioni.

Innanzitutto la registrazione di un dominio Lituano (.lt) varia da 15 ai 89euro in base al provider scelto, sappiamo che il Phisher ha sfruttato EPAG come registrante e tale Provider richiede 79euro all’anno per un dominio con estensione .LT. Il sito è inoltre ospitato su un server avente IP 95.46.114.168, attraverso un Reverse Ip Lockup identifichiamo che su tale server è presente il solo dominio LCLOUD.LT e un errore di configurazione del kit di Phishing ci fornisce ulteriori dettagli sulla configurazione del server e dei relativi servizi utilizzati:

Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in /var/www/www-root/data/www/lcloud.lt/

EPAG Domainservices GmbH - Domains and SSL certificates for resellers

Il Phisher ha acquistato un dominio creato ad-hoc, un server o un Virtual Server attraverso il provider Time Host. Ma non solo, se riguardiamo lo screen del SMS creato da Daniele ci accorgiamo inoltre che SMS non è stato spedito da un numero qualsiasi, ma è stato personalizzato con la dicitura FindMyPhone. Solitamente chi vende online servizi di SMS offre la personalizzazione del mittente ad un costo aggiuntivo e inoltre si vendono pacchetti di SMS non l’invio di uno solo, questa può essere la conferma che sia una pratica consolidata. Tramite il sito Italiano BeSMS apprendiamo che l’invio di 100 SMS con mittente personalizzato ha un costo di 7,99euro.

Pertanto il Phisher nella migliore delle ipotesi per tentare l’attacco a Daniele ha dovuto sostenere le spese di acquisto del dominio, 79euro, l’acquisto di un Server, circa altri 15euro se è un server virtuale e almeno 8euro di SMS per un totale di 102euro. Rischiando che questi 100€ vengano “brucati” nel giro di poche ore, bruciati poichè occasionalmente quando il sito viene riportanto nelle Black List pubbliche di Phishing il provider o il registrante del dominio sospendono la fruizione del servizio mandando all’aria l’intera operazione.

Infine bisogna considerare l’importante lavoro di creazione del Clone Apple, il quale dopo una nostra analisi ha le seguenti caratteristiche:

  • Multilingua;
  • Clonazione in tempo reale del sito autentico;
  • Verifica delle credenziali inserite;
  • Simulazione della mappa per la funzione Trova iPhone;
  • Filtro sull’IP del visitatore o in base all’URL digitato;
  • Blocco dei Boot dei motori di ricerca (GoogleBot, MNSBot, ecc)
  • Pannello di Amministratore;
  • Interazione con un Database MySQL.

Il clone non sapiamo se è stato sviluppato dal Phisher o magari l’hai acquistato nel Deep Web, certamente sono servite qualche ore per svilupparlo.

Notiamo quindi un importante dispiego di energie e denaro per riuscire a sbloccare l’iPhone di Daniele, e chissà quanti altri. Ne vale la pena, vale la pena rischiare di spendere 100euro per nuovi domini/server e nella peggiore (migliore per gli utenti) delle ipotesi vederseli bloccare dopo due giorni? Certo, un iPhone 6S nel mercato dell’usato privo di scatola originale vale circa 400euro ovvero quattro volte tanto la spesa sostenuta dal Phisher.

Concludiamo con una galleria di screenshot del Kit presente all’indirizzo lcloud.lt:

 

 

Il monitoraggio del phishing internazionale ci ha portato a rilevare molteplici tentativi di frode a danno degli utenti di Free Mobile, società controllata de Illiade Group che si occupa di telefonia mobile in Francia.

D3Lab ha iniziato la sua attività di analisi del phishing a danno di Free Mobile dal secondo semestre dal 2014 e dal grafico sottostante si può osservare come il numero di tentativi di frode a danno dell’operatore francese sia man mano cresciuto nel tempo.

20160628112803

Continua a leggere

Le monitorage du phishing international nous à amenés à relever de nombreuses tentatives de fraudes aux dépens des utilisateurs de Free Mobile, une société contrôlée par Illiade Group, qui s’occupe de téléphonie mobile en France.

Le D3Lab a commencé son activité d’analyse du phishing aux dépens de Free Mobile à partir du second semestre 2014 et le graphique reproduit ci-dessous montre que le nombre de tentatives de fraudes aux dépens du fournisseur français a progressivement augmenté.

20160628112803

Continua a leggere