mail fraudolenta

E’ da poco stata rilevato un nuovo tentativo di infezione attraverso l’invio di mail con malware in allegato.

Nel caso odierno la mail apparentemente inviata dal corriere TNT, che sembrerebbe essere partita da un indirizzo ip francese,

 

mail fraudolenta

 

presenta le seguenti caratteristiche

Mittente apparente: “TNT” <[email protected]>

Oggetto: NUMERO TRACKING N* 5784 – 7272 – 3460 – 6312

testo (html):

Buongiorno,

Abiamo chiamato il numero rilasciato al momento dell ordine pero era chiuso,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

 

———————————

Il link celato sotto l’icon dei file PDF porta al download del file fattura.pif, estensione questa di una tipologia di file eseguibili per sistemi Microsoft Windows

 

$ file fattura.pif 

fattura.pif: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows

 

Al momento attuale su VirusTotal il file ha uno score di 8/57

responso VirusTotal 

 

Appare interessante rilevare negli headers della mail:

– l’utilizzo di un message-id compatibile con l’apparente mittente del messaggio

Message-ID: <[email protected]>

– il possibile tentativo di fuor viare l’identificazione del reale indirizzo ip mittente

Received: from 212.48.24.20 ([185.7.213.127])

by smtp-08.iol.local with bizsmtp

id qEPD1p0122lV0zd08EPDly; Mon, 09 Feb 2015 15:23:13 +0100

– l’apparente utilizzo di The Bat! quale software per l’invio del messaggio

X-Mailer: The Bat! (v1.52f) Business

 

il link da cui viene proposto il download del file è il seguente

hxxp://hassanbrothers[DOT]com/[email protected]

L’utilizzo di tale dominio presenta un chiaro legame con un gruppo criminale molto attivo, che nelle scorse settimane ed oggi stesso

utilizzo del medesimo url in casi di phishing

ha impiegato tale dominio per ospitare redirect con i quali ha portato i visitatori su finte pagine di VIsa Italia, ma non solo.

Non è al momento nota la funzionalità del malware in questione, si consiglia la massima cautela.

Update ore 21:54 09/02/2014:

il sito hassanbrothers[DOT]com sembrerebbe essere stato bonificato sia dal malware che dai file di phishing.

Nella giornata di ieri è stata ufficializzata, attraverso comunicato stampa su alcune testate Web, la sottoscrizione di un accordo pluriennale tra IKS e D3Lab.

IKS è una società di consulenza e sviluppo di soluzioni per la sicurezza e l’anti-frode in ambito IT, da tempo leader nel settore dell’anti-frode online attraverso SMASH soluzione sviluppata dalla controllata Kleis.

D3Lab opera invece prevalentemente nel settore del monitoraggio e contrasto al phishing.

La partership tra le due aziende permetterà di integrare le risultanze del monitoraggio dei casi di phishing condotto da D3Lab in SMASH, fornendo attraverso il cruscotto della soluzione IKS un potente strumento di contrasto alle frodi on-line.

Per quanti interessati a maggiori informazioni si rimanda al comunicato stampa pubblicato su BITMAT.

comunicato stampa TotalErg

Durante la notte abbiamo svolto alcune ricerche in rete in relazione all’attacco di phishing a danno di Total Erg rilevato nella serata di ieri 27 Novembre 2014, da cui è emersa l’esistenza di casi precedenti verificatisi già a fine ottobre.

Fabio Natalucci descrive in un articolo estremamente ben fatto, “Analisi di un caso di Phishing: SMS TotalErg acquisto buoni carburante“, un caso verificatosi nella seconda metà di ottobre, periodo al quale risale anche il comunicato stampa TotalErg “TotalErg nel mirino delle truffe online“.

comunicato stampa TotalErg

 

Sembrerebbe tuttavia che la campagna di phishing sia in realtà stata avviata ben prima, come suggerirebbero indicare le date rilevate nei tag aggiunti dal programma di copia usato per clonare il sito TotalErg.

 

D3Lab opera prevalentemente in ambito phishing, inserita da tempo in un network di professionisti della sicurezza informatica e dell’analisi forense, diversi dei quali collaborano come segnalatori riportando i casi rilevati con tempestività. Nonostante ciò la campagna di attacco, attiva ormai da molte settimane è stata rilevata solo ieri sera. L’utilizzo degli SMS quali veicolo dell’attacco permette ai criminali di far passare l’aggressione molto sotto traccia.

Al momento l’articolo da più parti linkato rimane quello di Natalucci. Questo evidenzia come gli attacchi sarebbero totalmente passati sotto silenzio se uno di questi casi non fosse stato riportato ad un esperto della sicurezza ICT, che rilevandone la peculiarità e pericolosità lo ha analizzato e descritto.

TotalErg, da parte sua, ha evidenziato alla clientela l’esistenza della minaccia, cogliendo il doppio risultato di tutelare i clienti con un giusto avviso e, importantissimo, di innescare con gli stessi un’interazione, come mostrato nell’immagine sottostante,  utile a tracciare il nascere di nuovi siti cloni e l’identificazione dei numeri di telefonia mobile da cui gli SMS vengono inviati.

 

post su pagina Facebbok TotalErg

 

Come per altre campagne di phishing condotte via SMS invitiamo i lettori a trasmetterci attraverso i commenti a questo articolo informazioni relative a:

  • sito web indicato nell’sms;
  • numero di telefono mittente.

Tali informazioni, una volta validate dall’amministratore del blog, diverranno pubbliche consentendo a chi deputato al contrasto ed alla’azione investigativa di seguire l’evolversi della campagna di phishing.

D3Lab ringrazia per la collaborazione.

sms di attacco

Sempre più spesso i cyber criminali si orientano verso la realizzazione di frodi on-line a danno di utenti di enti non bancari. Lo scorso anno terminò con una violenta campagna di phishing a danno dei maggiori operatori di telefonia mobile e della catena della grande distribuzione Carrefour.

In particolare la campagna di attacchi a quest’ultima, che si sviluppo tra la metà di dicembre e la metà del gennaio successivo, fu caratterizzata dall’utilizzo degli SMS via cellulare quali vettori dell’attacco.

Tale tipologia di attacco presenta alcune caratteristiche, discusse nel paper “Phishing via SMS“, che ne elevano la pericolosità rendendo complesse le attività di monitoraggio in assenza delle quali l’azione di contrasto può essere carente.

Il medesimo team criminale autore dei casi a danno di Carrefour torna ora in azione, con phishing veicolato a mezzo SMS, ai danni di TotalErg con un sms che invita ad aderire all’offerta di acquisto di carburante al costo di un solo euro al litro, visitando il sito www.ergshop.org:

TotalErg & Sky, acquista i Buoni Carburante 1,00 euro a litro risparmiando il 60/80%, offerta limitata vai sul nostro sito ERG www.ergshop.org

 

sms di attacco

 

 

Il sito in questione non ha alcun collegamento con TotalErg SpA, risultando invece il dominio intestato ad un italiano presumibilmente ignaro del tutto. La pagina in hosting presso Register.it funziona quale redirect portando al sito clone all’url

http://www.total-erg.mobi/www.totalerg.it/nei-nostri-punti-vendita/buoni-carburante-elettronici/buoni-carburante-web-acquisto-online.html

pagina clone

 

in hosting su A Small Orange. Le pagine clone risultano essere il risultato di una brutale azione di copia del sito totalerg.it realizzata in data 19 Agosto 2014, alle ore 19:46 ora italiana dato che potrebbe avere la sua rilevanza per lo svolgimento di taluni accertamenti.

copia del sito totalerg

 

 

Le successive pagine clone, visitabili premendo il pulsante “Acquista ora”, sono (come di pressi con questo gruppo criminale) finalizzate alla cattura di dati personali e dei dati delle carte di credito.

seconda pagina clone

 

terza pagina clone

 

pagina clone finale

 

Il kit di phishing, piuttosto elaborato, svolge un’azione di distinzione in base al BIN (bank identification number) della carta di credito, le prime sei cifre, in base al quale determina l’ente emittente, indirizzando l’utente su pagina clone interne al kit riproducenti la grafica ed i loghi di oltre una decina di istituti, tra cui Barclays, BCC, Fineco, Gruppo Bipiemme, ING Direct, Deutsche Bank, UBI Banca, Unicredit…

clone barclays

 

 

clone UBI

 

clone unicredit

 

TotalErg già a conoscenza del tentativo di frode evidenzia la minaccia ai visitatori del proprio sito attraverso un vistoso banner che risulta, correttamente, impossibile ignorare.

warning TotalErg

 

Come per la campagna di phishing delle scorso anno a danno di Carrefour, anche in questo caso invitiamo i lettori a trasmetterci attraverso i commenti a questo articolo informazioni relative a:

  • sito web indicato nell’sms;
  • numero di telefono mittente.

Tali informazioni, una volta validate dall’amministratore del blog, diverranno pubbliche consentendo a chi deputato al contrasto ed alla’azione investigativa di seguire l’evolversi della campagna di phishing.

D3Lab ringrazia per la collaborazione.

 

Considerazioni successive 28/11/2014 10:20: “Phishing Total Erg, alcune considerazioni

 

mail phishing

Si sta assistendo in questi giorni ad una recrudescenza di attacchi di phishing a danno degli utenti di Libero.it. I casi PHISH 1 e 3 si presentano di fattura rozza, mentre i restanti casi PHISH 2, 4 e 5, che risultano accomunati dalla medesima mano, come determinabile dal similare layout grafico e dall’impiego dei medesimi host ed ISP, presentano un layout decisamente più curato sia per la mail di attacco che per le pagine clone.

 

PHISH 1

Mail rilevata il 27 ottobre, si presenta come phishing di vecchio stampo, con i dati che vengono inviati al criminale rispondendo alla mail stessa.
La mail di attacco è partita presumibilmente dal sito web violato di una prefettura brasiliana, le credenziali venivano invece inviate ad un account di posta presso il provider cinese 163.com. 

mail phishing

 

 

PHISH 2

Mail del 31/10/2014, partita da indirizzo ip nigeriano e transitata su server di posta brasiliano. Sebbene l’italiano con cui il messaggio è scritto presenti diverse “increspature”, il layout grafico risulta decisamente più curato.

mail di phishing 31/10/2014

 

 

il link proposto nella mail porta a pagine clone (http://fleetblueupdate.com/admin/libero/) su host statunitense, riproducenti le grafica della pagina di login, con immagini richiamate direttamente dal dominio libero.it

pagina clone

 

 

PHISH 3

Mail sempre rilevata il 31/10/2014, scritta in lingua inglese, partita da un account di posta del provider sloveno Telmach Comminication Services.

mail di phishing 31/10/2014 in lingua inglese

 

Le pagine web a cui portava il link, su host Amazon, non sono più attive e si presentavano assolutamente grezze e non customizzate sul target.

pagine di phishing grezze

 

 

PHISH 4

Mail del 03/11/2014, si presenta come evoluzione di quella rilevata nel PHISH 2, ha in comune con essa la medesima rete nigeriana da cui risulta essere partita ed il  server di posta brasiliano su cui è transitata. Si rileva immediatamente come il layout grafico sia il medesimo, solo con il testo di maggior lunghezza.

mail di phishing 03/11/2014

 

Anche in questo caso il clone, ancora attivo (http://starkonline-secure.com/css/upgrade/mailplus/) e posiziona su host statunitense del medesimo ISP del PHISH 2, riproduce il layout della pagina di login di libero.it traendo le immagini dal legittimo dominio.

pagina clone

 

PHISH 5

mail sempre del 03/11/2014, presenta identica grafica e testo di quella del caso precedente, con cui ha in comune il server di posta brasiliano di transito, risultando però essere partita da indirizzo ip USA. La differenza più evidente la si individua nel mittente visualizzato “Libero Support” anziché Libero.it.

In questo caso il clone, che presentava le medesime caratteristiche ed il medesimo hoster del caso precedente, risulta essere off-line.

 

 

articolo dal sito Enel.it

Ogni giorno i notiziari forniscono allarmanti dati sulla disoccupazione, giovanile e non solo. Il lavoro è diventato un bene ambito quanto il denaro ed il benessere che in condizioni normali dovrebbero derivare dalla sua messa in opera.

I criminali sono da sempre attentissimi alle richieste del mercato, della società, in modo da attagliare le loro frodi ai beni e servizi maggiormente richiesti e se una di queste richieste diviene l’occupazione, i criminali si adeguano e si reinventano selezionatori.

Negli ultimi mesi si è assistito a svariati tentativi di frode finalizzati a carpire i dati delle carte di credito degli utenti del web e veicolati attraverso false offerte di lavoro, nelle quali i dati di carta di credito venivano richiesti al fine di coprire le spese di apertura e gestione pratica di selezione,

In tal modo il phishing abbandona il ramo prettamente bancario e dopo essersi reinventato con offerte relative a ricariche telefoniche, carte acquisti/fedeltà, ecc…, andando a colpire enti non bancari ma legati alla vendita di servizi e beni, ora si slega totalmente dal modulo “acquisto beni/servizi tradizionali” adottando un modulo “acquisto occupazione” che lo sdogana virtualmente rendendolo applicabile a danno di qualunque società.

 

Questo è quanto è accaduto per esempio a danno di Enel, come spiegato dalla stessa società alla pagina “Assunzioni Enel, nessun mandato a società esterne“, di cui si riprota per completezza uno screenshot.

articolo dal sito Enel.it

Enel non si è persa d’animo e, come evidenziato nello screenshot soprastante, ha reagito prontamente presentando querela presso le autorità.

E’ interessante osservare come tale modalità di attacco metta a repentaglio qualunque azienda, qualsiasi marchio, non solo quelle società che erogano servizi attraverso il web, rendendo di per se realizzabili attacchi di phishing con il coinvolgimento di marchi, loghi, società ed enti prima mai considerati.

Nei giorni scorsi D3Lab ha rilevato un tentativo di phishing a danno di quanti erano interessati al concorso per VFP1 dell’Esercito Italiano per il 2015.

Le pagine fraudolente sono state apparentemente clonate da quelle del portale Bloglavoro.com di cui veniva riproposto il tema grafico e l’impaginazione.

pagina fraudolenta

 

Tuttavia mentre BlogLavoro.com indica semplicemente (e correttamente) l’url del sito concorsi del Ministero della Difesa presso cui presentare (per sola via telematica) la domanda di partecipazione al concorso, la pagina fraudolenta propone un link cliccabile,

link malevolo in pagine fraudolenta 

finalizzato a condurre le vittime su una successiva pagina nella quale veniva richiesta la compilazione di un modulo con i dati della carta di credito.

modulo per la cattura dei dati 

L’analisi del codice della pagina web evidenziava con il dati raccolti non venissero gestiti nell’account di hosting, creato ad hoc per la frode ed ospitante le pagine fraudolente, ma bensì inviati ad un Google Docs.

 

errore php

 

 

Da qualche anno chi utilizza le carte di credito per acquisti on-line si è abituato ad utilizzare il Secure Code, quella password aggiuntiva in assenza della quale non è possibile perfezionare gli acquisti on-line anche conoscendo tutti i dati (pan, data emissione, data scadenza, titolare, cvv).

Dal sito di CartaSì possiamo leggere

 —————————————————-

Con il nome convenzionale 3D Secure si definiscono i sistemi di protezione antifrode Verified by Visa e SecureCode MasterCard studiati dai Circuiti Internazionali Visa e MasterCard.
Attivare la protezione antifrode ti garantisce una tutela extra per i tuoi acquisti online, permettendoti di prevenire eventuali utilizzi illeciti della tua Carta sul web e di evitare addebiti indesiderati sul tuo conto. Anche se non sei solito fare acquisti su Internet, con l’iscrizione al servizio 3D Secure, avrai una garanzia di sicurezza per la tua Carta ed eviterai che il tuo numero di Carta venga usato per pagamenti su web a tua insaputa. 
La protezione antifrode è un sistema semplice e gratuito per fare acquisti su web: devi solo scegliere una password che utilizzerai al momento del pagamento insieme ai dati della tua carta di credito. Durante l’acquisto, dopo aver inserito i dati richiesti dall’esercente, comparirà una finestra pop-up dove ti basterà inserire la password, e il pagamento sarà completato in tutta sicurezza.
 

—————————————————-

mentre da quello di Master Card

MasterCard SecureCode
D: Che cos’è MasterCard® SecureCode?
R: Il servizio MasterCard SecureCode è un protocollo di sicurezza che permette all’utente di associare alla propria Carta MasterCard una password personale e segreta (il SecureCode) che gli verrà richiesta per autenticare la transazione di pagamento ogni volta che effettuerà un acquisto online su un sito convenzionato con MasterCard SecureCode.
D: Come funziona MasterCard SecureCode?
R: Dopo che ti sarai registrato e avrai creato il tuo SecureCode riservato, la banca emittente della tua carta ti chiederà automaticamente di digitare il tuo SecureCode ogni volta che fai un acquisto presso i negozi/commercianti online aderenti. Il tuo SecureCode sarà rapidamente confermato dall’emittente della tua carta per finalizzare l’acquisto. Il tuo SecureCode non verrà mai comunicato al negozio/commerciante e usarlo è veramente facile.
D: In che modo MasterCard SecureCode mi protegge?
R: Il corretto inserimento del SecureCode durante un acquisto presso un negozio/commerciante online aderente conferma che sei il titolare autorizzato della carta. Se viene inserito un SecureCode inesatto, non sarà possibile finalizzare l’acquisto. Anche se qualcuno conosce il numero della tua carta di credito o debito, l’acquisto non può essere finalizzato presso il negozio/commerciante aderente senza il tuo SecureCode.

 —————————————————-

 

In fase di attivazione del Secure Code l’utente crea una “frase segreta” che verrà recuperata attraverso i canali impiegati per la legittima transazione ed il trasferimento di dati e mostratagli durante la fase di perfezionamento dell’acquisto, garantendogli di star comunicando con l’emittente della carta di credito. Rassicurato da ciò l’acquirente potrà in tutta sicurezza digitare il secure code.

Sempre citando la pagina di Master Card sopra citata

 —————————————————-

 D: Che cos’è il “messaggio personale”?
R: Il messaggio personale è una frase di controllo che il titolare definisce durante la registrazione. Ogni volta che effettui un acquisto online presso un negozio/commerciante aderente, ti verrà richiesto di inserire il tuo SecureCode e contemporaneamente verrà visualizzato il tuo messaggio personale. Il messaggio personale ti dà la garanzia di comunicare con l’emittente della tua carta. Se il messaggio personale visualizzato nella finestra a comparsa è inesatto, non devi inserire il tuo SecureCode, ma devi invece contattare immediatamente l’Assistenza clienti chiamano il numero telefonico riportato sul lato posteriore della tua carta MasterCard, per denunciare una possibile frode.

 —————————————————-

Quindi riassumendo:

1) si riempie il carrello;

2) ci si presenta al check-out, compilazione dati fatturazione;

3) inserimento dati carta di credito e titolare;

4) si apre il pop-up o ulteriore pagina con dati riassuntivi e frase segreta da verificare;

5) la frase segreta è corretta, l’utente inserisce il secure code e perfeziona l’acquisto.

 

Tuttavia ……

Nel pomeriggio di sabato 27 Settembre, si era impegnati nell’esame di un tentativo di phishing a danno di un ente non bancario si è ottenuto un messaggio di errore su una pagina php indicante che la stessa non era riuscita a recuperare informazioni da un host remoto

errore php

 

il file [omesso]vi.php era, ed è tutt’ora, posizionato nel sito web di un dominio .com registrato a nome di soggetti italiani con hosting presso il provider statunitense asmallorange.com.

Incuriositi dalla natura di questa pagina abbiamo svolto una serie di test. Innanzi tutto l’errore è stato generato dalla’assenza dei parametri card, mm, yy, cvv, che non sono stati passati via GET nel momento in cui abbiamo acceduto direttamente alla pagina generante l’errore, anziché giungerci attraverso il processo seguito dalle vittime.

Successivamente si è evidenziato come fornendo parametri validi la pagina restituisse (restituisce tutt’ora) la frase segreta impostata dal titolare della carta al momento dell’attivazione del secure code.

recupero frase segreta

 

Ma come poteva avvenire tutto ciò?
la pagina fornisce l’indicazione di uno specifico esercente verso cui viene fatto il pagamento, nello specifico si tratta di una onlus, il cui sito web sabato pomeriggio non era funzionante, le pagine asp generavano errori ed impedivano la visualizzazione dei contenuti.

Il codice sorgente della pagina [omesso]vi.php evidenziava come l’output fosse generato da un server di keyclient.it, per quanto non si fosse sullo stesso.

codice sorgente

 

L’assenza dei loghi “verified by Visa” e dell’istituto di credito emittente palesavano come la pagina fosse stata ottenuto dallo svolgimento in automatico, su un host terzo, di un tentativo di transazione, in realtà finalizzato al solo scopo di recuperare la frase segreta.

Apparentemente i criminali non hanno completato il lavoro di implementazione di tale sistema di recupero della frase segreta, che con semplici operazioni di parsing permetterebbe di riproporla direttamente nelle loro pagine fraudolente, con il risultato (citando le faq di Master Card) di dare la garanzia di comunicare con l’emittente della tua carta.

Ma così non è.

Identificato l’esercente, la onlus in questione, si è visitato il sito web, appena questo ha ripreso a funzionare, è si è avviata la procedura per effettuare una donazione. Nei primi passaggi vengono richiesti i dati personali (come privati o aziende), successivamente le operazioni passano in mano all’ente che gestisce la transazione, su sue pagine protette da certificato SSL.

perfezionamento acquisto 

 

All’atto di perfezionare l’acquisto inserendo i dati della carta di credito e del titolare, si è inserito quelli corretti per quanto riguarda la carta, ma si è falsato quelli del titolare (noi stessi), ottenendo la nostra frase segreta.

recupero frase segreta

 

risulta evidente quindi che i dati del titolare, nome e cognome, non sono indispensabili per il recupero della frase segreta. Sicuramente il pagamento non andrebbe a buon fine, l’operazione abortirebbe a fronte del mancato inserimento dei corretti dati utente, ma tanto basta al criminale per recuperare la frase segreta.

In realtà non sarebbe nemmeno un problema l’inserimento dei dati corretti, perché nome e cognome sono sempre richiesti in tutti i casi di phishing volti alla cattura delle carte di credito.

 dati in mano al criminale

L’analisi delle funzionalità di questo kit di phishing, svolta da remoto senza essere in possesso materialmente dei file, ma solo grazie alle risultanze di quanto è stato possibile cogliere attraverso il browser, evidenzia a nostro avviso come la “frase segreta” sia facilmente catturabile dai criminali.

Quanto sopra riportato deriva probabilmente da specifiche metodiche procedurali e da protocolli di comunicazione e non riguarda per altro il solo KeyClient ma anche altri operatori similari addetti alla gestione dei pagamenti elettronici, con i quali abbiamo ottenuto gli stessi risultati riuscendo ad ottenere sempre la nostra frase segreta.

Si chiarisce, a scanso di equivoci, che non si è trattato di alcun pen test, non era interesse di D3Lab testare metodiche, procedure, applicazioni, server di alcuno, ma solo comprendere come i criminali potessero essere riusciti ad ottenere la “frase segreta“. Per fare ciò si è semplicemente simulato un pagamento, usando i nostri stessi dati, inserendo solo un errore nel nome/cognome.

La possibilità per i criminali di simulare in totale automatismo l’avvio di una transazione ed usando i dati carpiti alla vittima (numero di carta di credito, data di scadenza, cvv) recuperare la frase segreta, creata dall’utente vittima all’atto dell’adesione al Secure Code, per presentargliela all’interno della pagina fraudolenta in cui richiedono il Secure Code, impone una rivalutazione di quale effettiva garanzia la stessa fornisca all’utente intento a perfezionare un pagamento sul web

corpo del messaggio fraudolento

Quale potrebbe essere la massima gioia di un criminale dedito al phishing?

Inserire le proprie pagine all’interno del sito web di un istituto bancario. E questo è quanto si è verificato in questi giorni.

L’attacco in questione è volto a colpire i titolari di CarteBcc.

La mail fraudolenta apparentemente inviata da un indirizzo ip britannico, presenta le seguenti caratteristiche

corpo del messaggio fraudolento

 

 

Oggetto: Avete ricevuto 1 notifica dal servizio online!

corpo del messaggio (in html)

—————————————————————————————————————————————–

Gentile Cliente,

Ti ricordiamo che da questo momento al fine di sbloccare la carta, è necessario scaricare e compilare il modulo allegato a questa email altrimenti la carta sarà  chiuso definitivamente.

Grazie per aver scelto CartaBcc.

************************

Questa e-mail e’ stata inviata da una utenza di servizio. Si prega di NON rispondere.

This e-mail message has been sent by a service account. Please, DO NOT reply.

************************

************************

Questo messaggio e’ stato inviato dall’Amministrazione del Portale della Sua carta e puo’ contenere informazioni di carattere estremamente riservato e confidenziale. Qualora non fosse il destinatario, La preghiamo di eliminare il messaggio, con gli eventuali allegati, senza trattenerne copia. Qualsiasi utilizzo non autorizzato del contenuto di questo messaggio costituisce violazione dell’obbligo di non prendere cognizione della corrispondenza tra altri soggetti, salvo piu’ grave illecito, ed espone il responsabile alle relative conseguenze civili e penali.

This message and its attachments (if any) has been sent by the Portal of your card’s administration account and may contain confidential, proprietary or legally privileged information. It is intended only for the use of the addressee named above. No confidentiality or privilege is waived or lost by any mistransmission. If you are not the intended recipient of this message you are hereby notified that you must not use, disseminate, copy it in any form or take any action in reliance on it. If you have received this message in error, please delete it.

****************************************************

—————————————————————————————————————————————–

Come riportato nel messaggio la mail presenta un allegato, nello specifico un file html che aperto in locale dal destinatario della mail fraudolenta si presenta come mostrato nell’illustrazione sottostante

allegato 

 

Metodica di attacco che non rappresenta per nulla una novità.

Ciò che colpisce è che la pagina php destinata a ricevere e gestire i dati inseriti nel form ed inviatigli con metodo POST

particolare codice html dell'allegato

 

sia residente all’interno del sito web di una delle tante Banche di Credito Cooperativo.

Wireshark mostra chiaramente l’invio di dati fittizi al file veverita.php che ricevute le credenziali, dopo averle presumibilmente inviate via mail al criminale, indirizza la navigazione dell’utente sul sito web legittimo di Credito Cooperativo.

follow tcp stream con wireshark  

 

il personale dell’istituto è stato avvisato.

Il phisher avrebbe potuto inserire non solo la pagina php per la gestione delle credenziali, ma anche la pagina clone ..il potere di inganno sarebbe stato notevole.

 

pagina di errore 404 con evidenziato il box di input

Nella maggior parte dei casi di phishing si assiste all’inserimento delle pagine fraudolente, da parte dei criminali, in siti web di privati e società violati attraverso i modi più diversi.

Una volta guadagnato l’accesso allo spazio di hosting i criminali sono naturalmente interessati a mantenerlo ed a tal fine fanno spesso uso di shell php, tipo le note c99 o r57

immagine da honeynet.org

 

immagine da stopthehacker.com

 

ma ne esistono naturalmente di molto più complesse, con maggiori e più complete funzionalità.

Il cyber criminale ha naturalmente tutto l’interesse a non condividere l’accesso allo spazio di hosting conquistato, in particolare se la violazione non è avvenuta attraverso una vulnerabilità di facile individuazione, tenterà così di celare la propria shell e di proteggerla con l’uso di una password.

Durante l’analisi di uno dei siti web contenenti pagine di phishing, uno dei plugin/estensioni del browser utilizzato come password manager ha svelato la presenza del box di login ad una shell camuffata da pagina di errore 404.

Alla richiesta di una pagina inesistente, la pagina di errore restituita presentava nel mezzo dello spazio bianco il tipico asterisco con cui l’estensione password manager del browser permette di accedere alle opzioni di completamento dei box di input. 

pagina di errore 404 con evidenziato il box di input

 

Esaminando il codice della pagina si ha conferma della presenza del box di input destinato ad accogliere la password e della modalità banale con cui è stato reso non visibile.

codice sorgente della pagina di errore

 

Il sito in questione è basato su un noto cms. Ricercando la pagina 404.php relativa al tema grafico in uso si ottiene qualche informazione in più

pagina 404.php

 

evidenziando nello specifico un errore alla linea 2267 …davvero troppe per il sorgente di una pagina 404.

Se l’estensione password manager non fosse stata attiva, come nello screenshot sottostante, la presenza del box di login alla shell sarebbe passata inosservata.

nessun box di input visibile 

 

pagina fraudolenta

Dall’inizio dell’anno D3Lab ha attivato il proprio monitoraggio sui tentativi di frode on-line della tipologia phishing ai danni degli utenti Apple.

I numeri sono quelli di un fenomeno in salita ….in fortissima salita.
Dall’inizio dell’anno D3Lab ha rilevato oltre 40 differenti url di attacco, con l’impiego di 36 dominio principali e 16 secondari, costituenti questi ultimi le destinazioni di attacchi con redirect.
In 3 diversi casi i siti, compromessi, contenenti le pagine clone disponevano di certificati SSL validi e questo ha consentito ai criminali di proporre alle vittime pagine web nelle quali saltava all’occhio, nella barra degli indirizzi del browser, l’indicazione verde ed appariscente  “https”.

pagina fraudolenta

 

 

 

Il phishing ai danni degli utenti Apple si sta dimostrando estremamente letale.

La mails di attacco di cui trattiamo in data odierna, presentano le seguenti caratteristiche

mail fraudolenta

 

 

 

Oggetto: Apple ID e stato disabilitato per ragiono di sicurezza

corpo della mail (html):

—————————————————————————–

Apple ID e stato disabilitato per ragiono di sicurezza

Caro cliente,

Qualcuno ha provato a entrare sul tuo account Apple da un altro indirizzo IP 217.156.2.01 .

Cortesemente verifica la tua identita oggi, altrimenti il tuo account verra disabilitato

per le nostre preoccupazoni sulla sicurezza e l’integrita della comunita Apple.

Per verificare la tua identita , ti raccomandiamo di andare su:

Verifica Ora >

Grazie,

Apple Customer Support.

Copyright 2014 iTunes, Inc. Tutti i diritti riservati.

—————————————————————————–

dove la dicitura “Verifica Ora >” cela il link malevolo ad un file php operante quale redirect verso pagine clone posizionate in un sito appartenente ad un dominio dotato di certificato SSL valido.

Questa si sta dimostrando essere la metodica standard di un gruppo criminale ben rodato, operante sin dal 2012 con attacchi a danno di PayPal Italia, Carta Sì, Poste Italiane e dell’ente riscossione tributi danese SKAT.

Ad incrementare la letalità di questa tipologia di attacco è il fatto che i criminali hanno implementato codice per verificare l’effettiva esistenza dell’account Apple e solo se tale verifica ha esito positivo procedono con la richiesta degli ulteriori dati.

Il dramma è che pagine di phishing di questo tipo sembrano avere una certa persistenza, risultando attive per più giorni.

D3Lab ha condotto, in sette giorni. un parziale monitoraggio di due casi riferibili alla fattispecie sopra descritta, rilevando 170 codici di carte di credito, validi secondo l’algoritmo di Luhn, catturati dai criminali ad ignare vittime.

numeri di carte di credito frodati agli utenti Apple

 

A ciò va sommato il possibile esproprio dell’account Apple. Quanti dati vi sono riposti??

In data odierna D3Lab ha cercato di evidenziare il problema ad Apple Italia. Al momento non si è ricevuta alcuna risposta.