Nel pomeriggio odierno è stato individuato un messaggio di posta elettronica fraudolento ai danni dei clienti di Banca Intesa, finalizzato a veicolare il tentativo di frode attraverso una comunicazione telefonica.

 

 

Il messaggio di posta fraudolento, che sembrerebbe partito da un indirizzo ip del Belize, per transitare poi su un server di posta statunitense, presenta le seguenti caratteristiche:

 

 

Mittente: “Intesa Sanpaolo” <[email protected]> 

Oggetto: [ 0564 ] – Messaggio urgente 

Testo messaggio:

———————————————————————————————————–

Gentile cliente,     
X-ME-Bayesian: 0.005190

Il tuo è stata sospesa a causa di qualche pagamenti effettuati all’estero.   

Si prega di fara una chiamata per registrarsi e per sbloccare il tuo profilo.     

Per riattivare fare una chiamata a numero +(39) 087 226 0028.                      

Intesa Sanpaolo, Italia – 2016
Numero di telefono: +(39) 087 226 0028

———————————————————————————————————–

 

e, con qualche errore, invita gli utenti a comporre un numero di telefono con prefisso di Lanciano per sbloccare il proprio profilo[account] di internet banking.

Componendo il numero di telefono si viene dapprima accolti da un messaggio automatico, presumibilmente una registrazione degli effettivi messaggio dell’istituto bancario, che con voce femminile ci informa che la nostra telefonata potrebbe essere registrata.

Successivamente subentrano le indicazioni automatiche di una voce maschile che, con tono professionale ma in un italiano scorretto, chiede di digitare le credenziali di accesso all’account di internet banking e i codici OTP generati dal dispositivo dedicato.

Chi lo desidera può ascoltare la registrazione della telefonata qui (file audio amr).

Non si tratta comunque di un caso isolato, vedasi la campagna a danno di Poste Italiane verificatasi nell’autunno 2013. 

Inbiz è una piattaforma che Intesa SanPaolo ha realizzato affinché aziende, istituzioni finanziarie ed amministrazioni pubbliche possano gestire le proprie attività finanziarie, contabili e amministrative in modo accentrato, attraverso un unico strumento.

Ed è proprio questa piattaforma ad essere oggi stata presa di mira da un’entità criminale piuttosto eclettica, che nelle ultime settimane ha realizzato molti tentativi di phishing a danno degli utenti Apple ed anche di Intesa SanPaolo, Unicredit e Gruppo Hera.

La mail di attacco individuata presenta le seguenti caratteristiche:

 

mittente apparente:

Inbiz <[email protected]>

Inbiz <[email protected]>

Inbiz <[email protected]>

oggetto: Messaggio interno!

corpo del messaggio:

 ————————————————————-

Caro Clienti Inbiz,

 

Hai ricevuto un nuovo messaggio interno.

Clicca per leggere

————————————————————–

 

Il link “Clicca” nasconde il collegamento all’url fraudolento mostrato nello screenshot sottostante, facente capo ad un sito web

 

 

posizionato in un server statunitense

ip:54.212.252.185
asn:AS16509
city:Boardman
latitude:45.8399
country_code:US
offset:-7
country:United States
isp:Amazon.com Inc.
timezone:America\/Los_Angeles
region:Oregon
postal_code:97818
country_code3:USA

 

E’ opportuno notare che la pagina clone è stata inserita in un sito web violato dotato di certificato SSL valido, per cui si può osservare l’indicazione verde HTTPS, che da sola si dimostra non essere più un parametro di riferimento per valutare l’affidabilità della pagina web in cui si inseriscono le credenziali, ma che mantiene invece un elevato potere di inganno in assenza di ulteriori verifiche, quali il corretto nome dominio.

Questo fatto non è una casualità, rappresentando una della caratteristiche distintive di questo gruppo criminale, da D3Lab soprannominato Rocket Team. 
Rocket Team è stato recentemente (la scorsa settimana) autore di un attacco di phishing a danno degli utenti del società fornitrice di energia Gruppo Hera, società che attacco già nel dicembre 2012 e nei primi mesi del 2013, quando per altro si dedicava anche a colpire SKAT, ente di riscossione tributi danese.
Nel 2014 il Team colpì duramente gli utenti di servizi e dispositivi Apple, per poi far perdere le proprie tracce per tutta la prima metà del 2015. Dallo scorso agosto questo gruppo criminale è tornato ad operare nell’ambito italiano, cercando di catturare le carte di credito degli utenti Apple e dei clienti Intesa SanPaolo e, come abbiamo già detto, del Gruppo Hera.

Nelle ultime settimane Rocket Team ha mostrato un cambio di strategia mirando alle credenziali dei servizi di internet banking degli utenti Unicredit, strategia che evidentemente gli sta portando degli introiti se ora decide di mirare al medesimo tipo di dati degli utenti del servizio Inbiz di Intesa.

L’esame degli headers della mail evidenzia l’invio da host statunitensi facendo uso dello script x.php eseguito dall’utente www-data, il web server.

 

 

 

Sebbene a livello statistico vi sia stato un calo del phishing rilevato da D3Lab, si deve registrare tuttavia un persistere dell’ignoranza 

 

degli utenti relativamente alla minaccia. La studio realizzato da Intel Security che ha evidenziato come il 93% degli internauti non sia in grado di riconoscere correttamente un tentativo di phishing palesa quelle che sono le possibilità dei criminali di colpire con efficacia.

 

Sebbene un calo del phishing vi sia stato ed in particolare in relazione all’internet banking, dove l’adozione di sistemi di autenticazione forte  hanno reso più complesso per i criminali sfruttare i dati carpiti, si è osservato un forte incremento degli attacchi miranti alla cattura dei dati di carta di credito. 

 

Il semestre appena conclusosi evidenzia come criminali si stiano sempre più orientando a colpire target non bancari, quanto piuttosto legati al mondo dei servizi per la massa, come evidenziato dai record recuperati a seguito di casi di phishing.

I criminali riservano particolare attenzione al mondo della telefonia mobile, dove le funzionalità di ricarica on-line si prestano particolarmente bene per le frodi. 

Nei mesi scorsi si è assistito ad una forte campagna a danno di TIM, realizzata con l’invio di SMS contenenti il link a pagine di phishing. Ora il medesimo gruppo criminale, autore già della lunga campagna a danno di TotalErg e precedentemente di Carrefour (entrambe via SMS), sembra stare postando la propria attenzione sugli utenti Vodafone.

Nei giorni scorsi si sono registrati già tre casi con pagine clone inserite nello spazio web di domini aventi nomi registrati ad hoc al fine potenziare la capacità di inganno, i cui link sono stati diffusi via sms:

• vodafoneofferte.com
• vodafoneclub.info (ancora attivo)
• vodaonline.info(ancora attivo) 

 

 

Le pagine clone risultano raggiungibili anche da rete Vodafone.

All’epoca (dicembre 2013, gennaio 2014) della prima consistente campagna di phishing condotta a danno di Carrefour via sms,  D3Lab riuscì a restituire una puntuale e tempestiva informazione agli utenti grazie a numerosi commenti di segnalazione, pratica che sfortunatamente non ha avuto il medesimo successo in relazione alle campagne a danno di TotalErg e TIM.

Sebbene i social netowrk consentano una ampia diffusione delle informazioni, sfortunatamente la loro indicizzazione da parte dei motori di ricerca non risulta sempre efficace e parte delle informazioni non raggiungono la massa venendo confinate nei circoli chiusi di contatti o di specifiche aree tematiche a causa degli hashtag.

Al fine di permettere una tempestiva azione di contrasto da parte degli enti target si consiglia di segnalare link ed sms su pagine ed account ufficiali di società e servizi.

 

Update 24/07/2015 10:55:

domini usati dal 13/07/2015:

• vodafoneofferte.com
• vodafoneclub.info
• vodaonline.info
• vodaclub.info
• vodashop.info
• promozioneoffertainfinita.com
• thepromo365.com
• ultimataofferta365.com
• vodashopestate.com

 

Update 30/07/2015 15:48:

domini usati:

• windsuper.mobi 
• vodafon.estate
• vodafon.gratis

 

Update 17/09/2015 09:04:

domini usati:

• ricarica-vodafone.ddnsking.com
• vodafone-estate.ddnsking.com
• vodafon.gratis
• ricarica-vodafone.com
• vodafoneclub.net
• offerta-vdf-illimitata-promo.com
• vodafonegratis.com
• offertairripetibile-vdf.com
• offerta-vdf-illimitata-promo.com
• vodafoneclub.club
• clientiprivatinuovapromoweb.com
  

 

Update 25/09/2015 11:02:

domini usati:

• promozionevodafoneprivati.net
• vodafoneclub.it
• clientipromowebsvoda.com

 

Update 06/10/2015 14:43:

domini usati:

• clientinuovapromo25voda.com
• vodafoneclub.org
• vodafoneclub.gratis
• clientiprivatinew.com
• clientinuovinewvoda.com
• vodafone1.it
• vodafoneclubnetwork.com

Gli accertamenti svolti nella prima mattinata hanno portato all’individuazione di un nuovo sito di phishing a danno di utenti TIM.

Partendo dall’url hxxp://timestate.it si visualizza la pagina clone, riprodotta nell’immagine sottostante, pubblicata via HTTPS attraverso serversicuro.it.

La visualizzazione del clone partendo dall’url base del sito/dominio timestate.it lascia ipotizzare l’uso dell’url direttamente in sms di attacco.

D3Lab ha trattato questi recenti attacchi sul blog in quanto presentano caratteristiche innovative in relazione al target colpito, nella fattispecie TIM. Non si proseguirà con ulteriori segnalazioni a meno che non presentino differenze di rilievo.

Si auspica che, come avvenuto in altri casi, la comunità web voglia lasciare traccia nei commenti a questi post dei nuovi url fraudolenti, nonché dei numeri di telefonia da cui potrebbero partire eventuali sms fraudolenti, affinché altri utenti possano individuare la minaccia ed evitarla.

 

 

Update 23/04/2015 h. 22:47:

domini già impiegati:

• timpiu.gratis
• timspecial.it
• timgratis.it
• timestate.it
• timonlinepiu.com

 

Update 08/05/2015 h. 14:02:

domini già impiegati:

• timgratis.it
• timofferta.com
• tim75euro.gratis
• timestate.net
• timtutti.it
• timxtutti.it
• timnoitutti.it

 

Update 18/05/2015 h. 16:12:

domini già impiegati:

• timsmart.it

 

Update 03/06/2015 h 17.05:

domini già impiegati:

• timstart.it
• timtuttipiu.it
• timpernoi.it

 

Update 11/06/2015 h 11.38:

domini già impiegati

• timextra.it
• timsuper.it (in uso)