Per anni i criminali ci hanno portato sulle pagine di phishing inondandoci di false mail. Negli ultimi due anni, data la diffusione di smartphone che consentono una agevolo navigazione sul web, hanno cominciato a veicolare i propri attacchi attraverso SMS, senza tralasciare l’uso di sistemi di messaggistica istantanea quali WhatsApp, o sfruttando l’enorme diffusione dei social network.

Nell’ultimo trimestre si è invece assistito ad un crescente numero di campagne di phishing attraverso le tecniche di marketing sui social network, la cui più banale applicazione è l’acquisto di “spazi pubblicitari” da mostrare agli utenti che effettuano ricerche con specifiche parole.

Dopo i casi verificatesi nell’arco del trimestre a danno di istituti nostri clienti in data odierna, effettuando i monitoraggi di prassi su questo “canale di diffusione”, abbiamo rilevato una campagna di phishing in atto a danno di UBI Banca.

20160725135147

Continua a leggere

 

SMS Phishing

Nel primo semestre 2016 dalle analisi sul Phishing abbiamo registrato un maggior impiego degli SMS quali veicolo di attacco agli istituti bancari e non solo, in particolare è stato abbondantemente sfruttato il numero 3424112671 come mittente dei brevi messaggi di testo. È probabile che tale numero appartenga ad un Gateway SMS ovvero ad un fornitore di servizi SMS attraverso internet.

I primi messaggi fraudolenti relativi a questo numero di cellulare risalgono ad Ottobre 2015, da allora ad oggi tramite questo numero sono state colpite diverse società:

  • Poste Italiane;
  • WhatsApp;
  • Intesa San Paolo;
  • Facebook;
  • Deutsche Italy Bank;
  • Lottomatica;
  • Banca Marche.

Gli SMS sono un perfetto vettore per il Phishing poiché permettono di scavalcare i filtri antispam delle caselle eMail e catturano maggiormente l’attenzione del destinatario. È un metodo di Phishing meno diffuso e l’utente più inesperto viene tratto in inganno da questa nuova forma di truffa che fino ad ora si era principalmente affermata tramite eMail.

Phishing WhatsApp

Sono diverse le fonti online che citano questo numero e riportano il contenuto degli SMS, la pagina Facebook di “Trutte e Raggiri” lo scorso 8 Aprile 2016 riportava un caso di Phishing ai danni di WhatsApp.

SMS_phishing_23_02_2016

Ma ancor prima a Febbraio 2016 il numero è stato sfruttato per una campagna ai danni di Intesa San Paolo, ed è proprio il gruppo di IT.news.net-abuse su Google a riportare la notizia.

2016.07.21_Screenshot_1532380

Sempre a Febbraio 2016 lo stesso numero, come ci riporta stopting, veniva sfruttato per carpire le credenziali degli utenti della Banca Marche.

2016.07.21_Screenshot_1552480

2016.07.21_Screenshot_1552400

2016.07.21_Screenshot_1552180

Tra ottobre e novembre del 2015 si sono verificati diversi casi ai danni di Poste e WhatsApp secondo i commenti riportati su unknownphone, Poste Italiane che è ancora oggi una vittima del Phishing mediante questo numero. Come possiamo visualizzare da questa segnalazione su Twitter odierna:

2016.07.21_Screenshot_1555270

È importante notare il crescente utilizzo di domini creati ad-hoc, come avevamo già riportato nell’articolo dedicato a PayPal, per carpire ancor più l’attenzione della vittima, rendendo l’inganno più preciso e mirato.

Un estratto dei domini coinvolti è il seguente:

  • postedirect3d.it
  • whatapp.com
  • onlineposte.com
  • myposte3d.co
  • leDB.it
  • myposte5d.it
  • contonet.it
  • whatsapp-italy.net
  • posteinfo.pw
  • posteinfo.us
  • myintesaonline.it

Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e perfezionamento, sfrutta nuove tecniche per carpire le sue vittime e nuovi approcci per risultare più similare al target preso di mira.

Nell’ultimo mese la D3Lab ha assistito ad un’ondata di messaggi di posta elettronica a danno dei clienti di Banca Popolare di Vicenza. L’utente riceve una mail dove gli viene richiesto di confermare le informazioni fornite durante la sottoscrizione dei servizi BVIGO.

bvigo

Continua a leggere

struttura pagina di phishing

Il nome Equitalia non rappresenta un novità in ambito phishing, più volte negli ultimi due anni i criminali hanno confezionato false mail apparentemente inviate da questa SpA sotto totale controllo pubblico operante nella riscossione tributi sulla quasi totalità del territorio nazionale.

Sino ad ora il phishing a marchio Equitalia era stato sfruttato dai criminali principalmente per la diffusione di malware. Tuttavia il 13 Luglio si è assistito alla diffusione di una classica mail di phishing finalizzata non alla diffusione di malware ma alla raccolta delle credenziali di login per l’accesso al servizio Equitalia.

Mail di phishing Equitalia

La mail fraudolenta, che sembrerebbe partita  da un indirizzo ip tedesco, presenta le seguenti caratteristiche: Continua a leggere

 

Logo_Pokémon_Go

 

In Italia non è ancora arrivata l’applicazione Pokemon GO, ma in tutto il mondo è già un vero tormentone. La nuova applicazione sviluppata da Nintendo permette all’utente di giocare attraverso il proprio smartphone iOS o Android sfruttando la realtà aumentata e la tecnologia GPS.

Il videogioco ha sollevato un furore mediatico che l’azienda non percepiva dai tempi della Wii, le azioni di Nintendo hanno raggiunto quota 26 dollari con un rialzo massimo del 14%. Il più alto rialzo dal 1983 ad oggi per l’azienda.

pokemon1_col-750x698 pokemon1_line

In base ai dati pubblicati dalla SurveyMonkey il gioco è il più utilizzato negli USA e l’utilizzo medio quotidiano per utente ha superato i due Social Network Snapchat e Twitter.

L’attesa snervante per gli utenti Europei, che ancora non posso scaricare l’applicazione e la forte richiesta del gioco hanno creato dei market-place paralleli per il mercato Android in cui è possibile scaricare il software. Peccato che la società di consulenza proofpoint abbia individuato la presenza di un malware nell’applicazione diffusa nei market-place di terze parti.

Ma un mercato così vasto non ha solo alimentato la creazione di malware, ma sono in corso anche campagne di Phishing con domini creati ad-hoc. Campagne che promettono all’utente la vincita di Poké Coins a patto di condividere il sito internet su Facebook e una volta effettua la condivisione l’utente viene poi reindirizzato in un ulteriore sito internet in base alla sua localizzazione. Quest’ultimo sito promette buoni spesa, formazione lavorativa, ecc a patto di inserire i propri dati personali (Nome, Cognome, eMail, Residenza). Tali dati verranno sfruttati probabilmente per campagne intense di Spam, ma conclusa la procedura ovviamente non si ottiene alcun Poké Coins.

Attraverso il nostro monitoraggio di brand, nelle ultime 72h sono stati registrati un alto numero di domini attinenti:

  • 762 nuovo domini contenenti la keyword: pokemon
  • 406 nuovi domini contenenti la keyword: pokemongo
  • 59 nuovi domini contenenti la keyword: pokego
  • 32 nuovi domini contenenti la keyword: pokemons
  • 19 nuovi domini contenenti la keyword: pokemon-go
  • 7 nuovi domini contenenti la keyword: pokeball
  • 6 nuovi domini contenenti la keyword: gopokemon
  • 3 nuovi domini contenenti la keyword: getpoke
  • 1 nuovo dominio contenente la keyword: go-pokemon
  • 1 nuovo dominio contenete la keyword: pokemonsgo

Non sono state rilevate nuove registrazione a nome dei tre personaggi principali del gioco: Squirtle, Bulbasaur e Charmander.

Tra questi domini abbiamo analizzato pokemons-go.com, è stato registrato il 12 Luglio 2016 e richiede la condivisione su Facebook per ottenere il premio. In totale è stato condiviso 5220 volte, commentato 1330 volte e ha ottenuto 578 “Mi Piace”. Per un totale di 7128 interazioni sul Social Network Facebook.

Di seguito vi riportiamo gli screenshot di alcuni siti internet fraudolenti:

Questo slideshow richiede JavaScript.

 

 

 

 

 

 

 

sito phishing Creval

In data odierna abbiamo individuato un tentativo di frode  a mezzo di posta elettronica a danno dei clienti di Credito Valtellinese

20160704130047

 

Il messaggio di posta elettronica fraudolento presentava le seguenti caratteristiche:

Oggetto: Password Scaduta

Mittente: “Credito Valtellinese” <[email protected]>

Testo  del messaggio

————————————————————————

Attenzione. La tua password è scaduta, per poter completare il login, accedi  cliccando qui

————————————————————————

Il collegamento ipertestuale presente nella mail svolge una funzione di redirect che porta i visitatori a una pagina fraudolenta dove vengono richiesti i dati di login dell’account.

 

crop_1467630316

 

Dalle analisi effettuate si è rilevato, nel primo trimestre dell’anno in corso, due attacchi di phishing isolati, forse il test di funzionamento del kit impiegato per la massiccia campagna di phishing rilevata nel mese di Giugno.

I criminali autori di questi attacchi sembrano prediligere l’impiego di host posizionati nel sud est-asiatico (Indonesia e Korea).

GLS_Finta_Comunicazione

Una nuova andata di ransomware giunge agli utenti attraverso eMail solo apparentemente inviate dal vettore nazionale GLS. Il messaggio di posta con oggetto “GLS Italy – Notifica spedizione E4 369026685” informa l’utente che l’azienda “CASTELLARI SRL” ha inviato un collo al destinatario “CLIENTE SRL” e che è possibile seguire lo stato d’avanzamento della spedizione direttamente sul sito di GLS all’indirizzo riportato.

Selezionando l’indirizzo “http://www.gls-italy.com/track_trace_user.asp?locpartenza=E4&numsped=369026685” avviene il download di un file compresso in formato ZIP denominato “informazionispedizione.zip” contenente un JavaScript che ha l’onere di scaricare ed eseguire il malware. Il file JavaScript confonde l’utente sfruttando la doppia estensione .PDF.JS ed è stato offuscato per impedire un immediata analisi.

Analizzando l’Header dell’eMail rileviamo lo sfruttamento di una casella eMail del Gruppo Buffetti per l’invio massivo del Phishing, è probabile che ignari utenti siano entrati in possesso delle credenziali della casella di posta e l’abbiano sfruttata per inviare le comunicazioni fraudolente.

GLS_Header_eMail

La scansione su VirusTotal, dopo pochi minuti dalla ricezione dell’eMail, del file .cab scaricato dal downloader JavaScript riporta il rilevamento della minaccia da parte di soli 3 Antivirus su 53.

GLS_Malware

 

Phishing Gruppo Hera

 

Durante l’analisi quotidiana delle attività di Phishing nazionali ed internazionali abbiamo rilevato una nuova campagna ai danni del Gruppo Hera Coom, i Phisher sfruttano il logo e il nome della società leader nei servizi ambientali, idrici ed energetici con sede a Bologna per carpire vittime con la stessa tecnica che abbiamo visto recentemente anche per il gruppo Edison.

L’utente informato mediante eMail che ha diritto ad un rimborso dal Gruppo Hera per un errato conteggio della sua fattura viene invitato a visitare un sito internet per completare la procedura di rimborso. Il sito internet fraudolento che vediamo nell’immagine di apertura richiede all’utente di digitare i suoi dati personali e i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società Bolognese. I dati inseriti nel sito fraudolento verranno sfruttati per addebitare cifre indesiderate sulle carte di credito delle vittime e non per accreditargli l’atteso rimborso.

Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.

clone phishing Banque Postale

Nella nostrà attività svolgiamo un monitoraggio costante incentrato non solo sul phishing italiano, ma anche straniero, prestando attenzione a quei paesi europei che presentano un trend di attacchi in crescita. Tra questi vi è la Francia, che vede Banque Postale come uno dei target più bersagliati dai criminali. L’esame delle casistiche non di rado porta ad individuare cloni di enti stranieri inseriti nel medesimo sito violato che ospita anche cloni di enti italiani, palesando come i criminali agiscano in maniera traversale e godano di strutture posizionate nei diversi paesi, attaccando La Banque Postale, ma anche istituti di credito italiani. Continua a leggere

Dans notre activité nous effectuons un monitorage constant qui met l’accent non seulement sur le phishing italien mais aussi sur celui étranger, prêtant une attention particulière aux pays européens qui présentent une augmentation des attaques. Parmi ces pays figure la France où la Banque Postale est l’une des cibles de prédilection des criminels. L’examen des listes permet fréquemment de trouver des clones d’institutions étrangères insérés au sein même du site violé qui héberge également des clones d’institutions italiennes, illustrant la manière dont les criminels agissent de manière transversale, bénéficiant de structures situées dans les différents pays, attaquant la Banque Postale, mais aussi les instituts de crédits italiens.

Le graphique reproduit ci-dessous montre clairement la forte croissance des attaques contre la Banque Postale (ainsi que cela a été relevé par le D3Lab), héritier financier du groupe «La Poste» qui propose des services bancaires et financiers.

Continua a leggere