mail fraudolenta

Phishing Aruba

Nella giornata odierna D3Lab ha rilevato un tentativo di phishing a danno degli utenti Aruba.

La mail odierna, partita da un indirizzo ip statunitense, presenta le seguenti caratteristiche:

mail fraudolenta

 

mittente apparente: Aruba.it <[email protected]>

oggetto: E’ necessario verificare il tuo dominio Aruba

testo del messaggio (in html):

E’ necessario verificare il tuo dominio Aruba Clicca qui per verificare

 

Il link proposto nel messaggio di posta fraudolento conduce ad una pagina di phishing, inserita all’interno di un sito web statunitense per escort di classe, che riproduce la pagina di login al pannello di amministrazione dei domini in hosting su Aruba

 

pagina di phishing

 

Inseriti i dati, senza che il captcha venga in realtà validato, l’utente viene condotto alle pagina del sito Aruba legittimo.

Il recupero del kit del phisher evidenzia l’invio delle credenziali ad una mailbox gmail.

codice php

 

Non è la prima volta che Aruba rientra nelleattenzioni dei cyber criminali. In passato erano stati rilevati tentativi di phishing volti a carpire i dati delle carte di credito di chi su Aruba ha un proprio spazio di hosting.

Il tentativo odierno si pone invece quale testa di ponte per truffe successive, in quanto l’accesso allo spazio di hosting altrui permette ai criminali di posizionare all’interno dello stesso pagine di phihsing, materiale  protetto da copy right o pedopornografico, codice malevolo, ecc….

/da
casi attenzionati

Phishing: andamento 2013

Cogliendo l’occasione della stesura del “Rapporto D3Lab 2013” sono state effettuate valutazioni statistiche sull’andamento degli attacchi di phishing rilevati da D3Lab.

E’ doveroso sottolineare che conteggiare gli attacchi di phishing non è semplice per svariati motivi:

  • l’invio delle mail di attacco viene ritardato dal web server su cui i phisher hanno caricato lo script di invio delle mail e le stesse arrivano su più giorni;
  • le pagine clone non sono state eliminate e risultano essere riutilizzate a giorni o settimane di distanza;
  • la stessa pagina fraudolenta, in particolare per i file php che gestiscono le credenziali inviate dagli allegati alle mail, è usata per più mesi consecutivamente; 
  • attraverso l’uso di script per la creazione delle mail e della gestione di fake subdomain, attraverso htaccess o alla violazione dei pannelli di gestione dns, i phisher creano innumerevoli url unici puntanti alla medesima risorsa,
  • l’uso di redirect aggiornati e short url in sequenza permette al phisher di usare svariati cloni aggiornando un unico redirect;
  • ecc…

Ci si può quindi rendere conto quale sia la difficoltà di eseguire un monitoraggio su un insieme di informazioni …fluido.

D3Lab ha optato per il conteggio degli url unici di attacco:

  • il medesimo url, anche riutilizzato per più giorni, o a distanza di giorni, viene conteggiato una sola volta;
  • url diversi, generati inglobando, l’indirizzo mail del destinatario, ma puntanti alla medesima risorsa sono conteggiati una sola volta;
  • url con fake subdomain sono conteggiati individualmente.

D3Lab non ha la pretesa di aver individuato il miglior sistema di conteggio di tale tipologia di incidente, tuttavia utilizzando stabilmente il medesimo metro di valutazione si riesce a ottenere un’indicazione attendibile dell’andamento dell’attività criminale.

Lo sviluppo ed il miglioramento di strumenti e procedure ad hoc ha permesso a D3Lab, nell’anno 2013, di vagliare oltre 15.000 messaggi di posta elettronica e 500.000 segnalazioni derivanti dai data base on-line.

casi attenzionati

 

 In tal modo D3Lab è riuscita nell’anno 2013 ad esaminare oltre 4200 casi, con un incremento rispetto al primo quadrimestre 2012 di oltre il 600 %. L’incremento dei casi monitorati non è dovuto unicamente alle migliorate capacità ed al solo incremento  del fenomeno criminale in panorama Italiano, ma anche all’attenzione riposta dal settembre 2013 nei confronti di enti stranieri, nei cui confronti D3Lab ha cominciato ad attuare un attento monitoraggio con conseguente analisi e ricerca.

La tabella nel seguito riportata rappresenta l’andamento degli attacchi di phishing rilevato a danno dei vari enti. I dati numerici sono quelli pubblicati nel gennaio 2013 (Phishing: chiusura 2012 e previsioni 2013) e relativi ai casi rilevati nell’anno 2012. Sulla base degli stessi si è deciso di dare solo un indicazione dell’andamento per i periodi a seguire, senza riportare valutazioni numeriche che potrebbero essere fuorvianti dal momento che in parte il lievitare del numero di url fraudolenti rilevati a danno di specifici enti può certamente essere dovuto ad un incremento delle capacità di monitoraggio ed identificazione degli attacchi da parte di D3Lab.

tabella attacchi di phishing rilevati

 

La freccia verso il basso ↘ indica ovviamente un calo degli attacchi, mentre quella verso l’alto   indica un aumento. Si è cercato di dare risalto all’andamento di quanto rilevato con l’uso di colori, dove lo sfondo delle celle di colore:

  • verde indica 0 attacchi;
  • grigio indica stabilità;
  • azzurro  indica miglioramento;
  • rosso indica peggioramento.

La colonna relativa all’anno in corso (2014) prende in considerazione questo primo trimestre. In tal caso il colore rosso indica la presenza di attacchi. Non si è voluto fare una valutazione statistica su base trimestrale, preferendo lasciare alla freccia verso l’alto  ↗ il compito di evidenziare quei casi nei quali i rilievi hanno già portato all’identificazione di url malevoli in numero superiore a quelli rilevati l’anno precedente.

Si può notare come per alcuni enti siano stati individuati attacchi sporadici destinati a non ripetersi nei periodi seguenti e come, in altri casi, enti precedentemente non colpiti dal fenomeno, o con un calo di attenzione da parte dei criminali, siano tornati invece a rappresentare un target in questi primi 90 giorni del 2014.

Va notato il ripetersi di attacchi ad enti non bancari, quali le maggiori compagnie di telecomunicazione, i portali di prenotazioni alberghiere Venere ed Expedia  e di giochi e scommesse on-line SNAI ed Eurobet.it. 

Nel 2013 si è confermato il calo di interesse verso l’home banking a favore delle carte di credito, con un incremento di attacchi a danno di Visa e Lottomatica, a fronte di un calo di quelli a danno di Carta Sì, per la quale tuttavia si è rilevata una forte inversione di tendenza nel trimestre in corso, come sta avvenendo anche per gli utenti delle carte emesse da Banche di Credito Cooperativo. 

Con la fine del 2013 si è presentato sul panorama italiano l’attacco portato a mezzo SMS. Di pe se questo non rappresenta una novità, nulla di innovativo, tuttavia, operando sul phishing dal 2009 D3Lab non lo aveva mai rilevato. Nel caso specifico gli attacchi sono stati mirati a colpire i clienti della catena di grande distribuzione Carrefour (Continua il phishing Carrefour via SMS), ripetendosi nel 2014 anche a danno di Poste Italiane. L’analisi di tale tipologia di attacchi è stata per D3Lab lo spunto di riflessione che ha portato a rilasciare, il 13 Gennaio, scorso il “Phishing via SMS report“.

Il monitoraggio a livello internazionale si è focalizzato, dal primo Settembre 2013, principalmente su enti europei, evidenziando un forte interesse dei criminali dediti al phishing per gli utenti di lingua tedesca

enti a lingua tedesca colpiti dal phishing

con diversi enti tedeschi ed austriaci nel mirino dei criminali, con le tedesche Sparkasse e Post Bank che nell’arco del terzo quadrimestre in esame hanno surclassato in termini di url malevoli a loro danno quasi tutti gli enti italiani.

Gli utenti del web di lingua francese hanno cominciato ad essere fortemente colpiti dal phishing nel secondo semestre 2012, quando iniziò una consistente campagna di attacchi a danno degli utenti di Carrefour Banque (Phishing Carrefour Banque), poi cessata nelle prime settimane del 2013, e di EDF fornitore di energia elettrica francese, ai cui utenti veniva proposto dai criminali l’addebito della bolletta su carta di credito.

phishing contro enti a lingua francese

 

Nel 2013 si è assistito ad un allargarsi del numero di enti colpiti, con attacchi all’ente deputato all’erogazione degli assegni famigliari (Caisse Nationale des Allocations Familiales), alla Banque Postale e all’operatore di telefonia mobile SFR.

Gli utenti britannici non sfuggono all’attenzione dei phisher, con attacchi mirati principalmente agli accounts customer degli operatori di telefonia mobile ed a Tesco Bank (Tesco Bank phishing)

phishing a danno di enti britannici

 

A livello extra europeo si è rilevato oltre ad elavato phishing per quei provider di servizi internazionali quali PayPal, FedEx, Western Union, Google, Yahoo, Facebook, Twitter, ecc..,  anche un elevatissimo numero di attacchi ai clienti/utenti di enti sud americani, con la novità di sporadici attacchi mirati a istituti bancari per utenti di lingua araba ed ad una crescente campagna di phishing volta a colpire utenti asiatici. In tale contesto i rilievi D3Lab hanno evidenziato un elevato interesse dei criminali verso gli utenti di istituti bancari indiani, con phishing “multimarca”,  e malesi con ripetuti attacchi da parte delle medesime entità criminali a Hon Leong Bank, MayBank2u ed RHB Now.

enti asiatici colpiti dal phishing

 

L’analisi dei dati raccolti nel terzo quadrimestre 2013 ha evidenziato un preoccupante interesse dei criminali verso i clienti degli operatori delle telecomunicazioni.

telco italiane colpite da phihsing

 

Nel panorama italiano la semplice analisi del grafico sopra riportato sembrerebbe evidenziare un andamento assolutamente preoccupante a causa del picco di url malevoli rilevato nel mese di dicembre. In realtà ciò fu dovuto alla compromissione di un unico host di un provider francese, che permise ai phisher di inserire nello spazio web dei molti domini ivi presenti innumerevoli cloni a danno dei principali operatori di telefonia mobile italiani e di SNAI. Data la dimensione delle campagna di phishing, ad opera del medesimo gruppo, che ne conseguì è abbastanza probabile che il provider abbia ricevuto segnalazioni di quanto stava accadendo. Ciononostante i criminali ebbero la possibilità di mantenere i propri cloni sull’host compromesso per quasi un mese. 

A livello europeo l’interesse dei criminali per i criminali dei provider di telecomunicazioni fu confermato dai dati raccolti. Risulto tuttavia esservi una grande differenza tra il phishing volto a colpire gli utenti delle società britanniche e gli altri. Mentre nel resto d’Europa i criminali richiedevano alle vittime direttamente i dati delle carte di credito, in UK (e per quanto riguardala sola T-Mobile anche in Germania ed Ungheria) venivano richiesti solo i dati di accesso all’account cliente.

telco europee colpite da phishing

 

Il recupero di kit di phishing, avvenuto in un buon numero di casi, ha evidenziato, unitamente all’identificazione di differenti modalità operative, come non vi sia apparente commistione e comunione di risorse tra le entità criminali impegnate a frodare gli utenti dei diversi paesi. 

Venendo alle modalità attuative si è notato un sempre pesante coinvolgimento dei siti web basati su Joomla e WordPress, probabilmente dovuto alla loro diffusione. I criminali accedono allo spazio web altrui non solo attraverso vulnerabilità dei CMS in uso, ma anche conquistando le credenziali dei pannelli di gestione dei domini.

Nell’arco dell’anno 2013 la maggior parte degli attacchi è stata portata attraverso link diretti e allegati alle mail. Con la fine dell’anno si è denotata una tendenza in aumento, confermatasi nel trimestre corrente, dell’uso di allegati con tag IFRAME, i cui url sorgenti sono spesso mascherati con l’uso di short url e redirect.

L’invio delle credenziali avviene sempre attraverso la gestione dei dati inviati dal form ad un file php che:

  • nella maggioranza dei casi le invia ad un indirizzo mail;
  • le scrive su file di testo, prassi apparentemente in calo;
  • le scrive su data base remoti, casistica legata alla tedesca Post Bank;
  • le invia via curl ad altro host.

I criminali in un numero crescente di casi fanno uso dell’indirizzo email del destinatario inserendolo nell’url proposto nella mail e di fake subdomain gestiti attraverso i pannelli gestione dominio o attraverso file htaccess.

 

Conclusioni: il phishing, per quanto considerato dai più una minaccia poco meritevole di attenzioni, miete ancora un elevato numero di vittime. La diffusione di tablet e smartphone, spesso in mano a utenti con una bassa competenza informatica, ha molto ampliato il bacino di pesca dei phisher.
Di contro l’assenza di una normativa internazionale e di una collaborazione tra le forze inquirenti dei vari paesi, così come avviene invece a contrasto delle pedofilia, lascia campo aperto ai criminali che, adottando precauzioni minimali, riescono a sortire effetti devastanti operando con basso livello di rischio. 
In tale ottica il dotarsi di un servizio di monitoraggio e contrasto al phishing, come quello erogato da D3Lab, può essere per le aziende una valido strumento di tutela della propria immagine e dei propri clienti.

D3Lab persegue attraverso questo blog l’obbiettivo di fare informazione ed allertare gli utenti sulle minacce rilevate in tema di phishing. Non vengono riportati tutti gli attacchi individuati, ma unicamente quelli che si presentano quali novità, verificandosi a grande distanza di tempo dai precedenti, o perché introducono elementi innovativi, quali nuovi temi grafici o diverse metodiche di attacco.

Chiunque voglia supportare l’azione di ricerca di D3Lab può farlo inoltrando il phishing ricevuto o allegando i sorgenti delle mail fraudolente all’indirizzo di posta elettronica [email protected]

/da
pagina fraudolenta

Phishin Expedia, Banca Popolare di Sondrio, Poste e Bper

Nella giornata odierna il monitoraggio D3Lab ha permesso di rilevare un nuovo tentativo di frode a danno dei clienti del portale di prenotazione alberghiere Expedia, phishing mirato principalmente a colpire gli albergatori collegati al portale.

pagina fraudolenta

 

Si tratta in realtà del sesto attacco registrato da D3Lab dall’inizio del 2014. Attacchi identici erano stati rilevati nel 2013, anno nel quale i phisher avevano colpito anche gli iscritti al portale Venere.com.

 

L’esame delle directory esplorabili evidenziava immediatamente la presenza di un file php che si rivelava essere una shell

index of

remota nsTView v.2.1 protetta da login.

 

login shell remota

 

Questo fattore andava ad aggiungersi a altri indizi che permettevano di correlare l’attacco appena rilevata a recenti tentativi di frode attuati a danno di Banca Popolare dell’Emilia Romagna, nel corso dei quali era stata individuata la medesima tipologia di shell, sempre in un file php con l’identico nome.

Gli attacchi a BPER si erano dimostrati ben articolati, con l’url di attacco, il link presente nella mail, avente funzione di redirect, portando le vittime verso la pagina clone posizionata in un secondo sito compromesso, dall’esame del cui codice si rilevava l’invio delle credenziali raccolte nel form ad un terzo sito violato.

Proprio esaminando uno dei siti web nei quale erano state inoculate le pagine clone si rilevava la sostituzione dei file costituenti

index of

 

il clone BPER con altri. Uno di questi era la shell remota nsTview già rilevata in precedenza, con identico nome,

 

 

login shell remota

 

mentre gli altri file provvedevano a visualizzare pagine clone atte a colpire i clienti di Poste Italiane, per carpirne i dati delle carte

 

clone Poste Italiane 

 

 

di credito, nonché i clienti del Banco Popolare di Sondrio, con la finalità di comprometterne l’account di home banking

 

 

prima pagina fraudolenta

 

attraverso la richiesta di tutte le serie di password dispositive riportate sulla ScrignoCard.

 

seconda pagina fraudolenta

 

Al termine della falsa procedura di autenticazione il codice delle pagina provvederà a riportare l’utente sulla legittima pagina di logout dell’home banking del Banco Popolare di Sondrio.

Per completezza si riporta come lo scorso febbraio il medesimo sito sia stato utilizzato dai criminali per posizionare pagine di phishing volte a colpire i clienti dell’istituto bancario Monte Parma.

Dei tre siti web citati nel presente post due sono cinesi ed uno giapponese.

Il caso Expedia trattato nel presente post permette di evidenziare come il monitoraggio continuativo e l’esame di tutti i casi di phishing rilevabili permetta di individuare un filo conduttore, costituito dall’utilizzo dei medesimi siti violati, dall’uso delle stesse vulnerabilità per accedere agli spazi di hosting, dalla predilezione per una specifica tipologia di shell, che permette di riconoscere la mano comune e quindi di addebitare ad un medesimo gruppo criminale la paternità di un certo numero di attacchi di phishing.

Tale evidenza palesa la dinamicità dei gruppi criminali capaci operare in un breve periodo a danno di svariati enti target.

 

/da
pagina fraudolenta

Phishing Barclays

In data odierna il monitoraggio D3Lab ha permesso l’individuazione di un tentativo di frode, della tipologia phishing, a danno degli utenti italiani dell’istituto bancario britannico Barclays.

Le due pagine web fraudolente realizzate al fine di carpire i dati delle carte di credito dei clienti dell’istituto bancario britannico,

pagina fraudolenta

 

 

pagina fraudolenta

 

sono state inserite in un sito web ospitato su un web server turco, rendendole raggiungibili attraverso l’abilitazione del wildcard sui 

sito/dominio in cui sono inserite le pagine clone

 

domini di terzo livello di un secondo dominio ospitato sul medesimo server.

geolocalizzazione host

 

Lo screenshot sottostante evidenzia immediatamente come la compromissione del web server ad un certo livello possa consentire ai criminali di accedere alla configurazione dei domini di livello inferiore consentendo la generazione di innumerevoli url fraudolenti tutti facenti capo alle medesime pagine clone, inserite nello spazio web di uno solo dei domini

  

individuazione dominio su host

 

Al termine delle procedura di cattura delle credenziali l’utente viene riportato sul legittimo sito Barclays.

/da
prima pagina fraudolenta

Phishing Findomestic

Il monitoraggio D3Lab ha portato nella giornata odierna al rilevamento di un tentativo di frode ai danni dei clienti Findomestic Banca, veicolato attraverso l’invio di almeno due differenti messaggi di posta elettronica.

Sono infatti stati individuati due url finali differenti strutturati, grazie all’uso di wildcard per il dominio di terzo livello, in modo da trarre in inganno gli utenti visualizzando nella barra degli indirizzi la la stringa  https.secure.findomestic.it.

L’attacco è portato facendo uso di 4 domini compromessi, due per i redirect, due per le destinazioni, posizionati sul medesimo host thailandese, attraverso i cui pannelli di gestione dei dns sono stati abilitati i terzi livelli con wildcard.

Tutti gli url così realizzati puntano ad un medesimo indirizzo ip statunitense dove è possibile visualizzare le due pagine web fraudolente realizzate al fine di catturare i dati di carta di credito e le credenziali di posta elettronica dei clienti Findomestic.

 

prima pagina fraudolenta

 

seconda pagina fraudolenta

Al termine della procedura le vittime sono riportate su pagine del legittimo sito web Findomestic.

/da
mail fraudolenta

Phishing InBank

Nella giornata odierna il monitoraggio D3Lab ha permesso di rilevare un tentativo di phishing a danno dei clienti deli istituti di credito facenti uso del sistema di home banking InBank gestito dalla Phoenix Informatica Bancaria SpA, società che fornisce servizi bancari a 150 anche sul territorio nazionale.

La mail di phishing, partita da un indirizzo IP peruviano, presenta le seguenti caratteristiche:

mail fraudolenta

 

 Mittente visualizzato: InBank.it”<[email protected]>

Oggetto: MPCYXHKHXD

Corpo del messaggio:

————————————————————————

Per ragioni di Sicurezza e Protezione, e per il miglioramento del nostro servizio и necessario confermare il tuo conto. Per questo, и necessario Scaricare e completare il documento allegato © InBank.it 2014 (Phoenix Informatica Bancaia) IRJWLZOJVWXHLSNHYXEPPVOKVRSZFKPUOQPRUW

————————————————————————

Allegato: InBank.Html

Il messaggio non è fortunatamente di buona fattura: sebbene in apparenza provenga da un indirizzo mail appartenente al dominio inbank.it, presenta un oggetto assolutamente criptico e, particolare maggiormente rilevatore, la mancata riproduzione del carattere “è” in luogo del carattere “и”, chiaro indicatore dell’opera di persone dell’Europa dell’Est o di Russia e paesi limitrofi.

La mail porta con se in allegato un file html, denominato InBAnk.hmlt, che aperto in locale presenta il logo del servizio

allegato fraudolento 

InBank ed un form in cui sono richiesti codice di accesso, password, indirizzo email e, per due volte consecutive, token otp. I dati sono inviato a pagine php posizionate su un server statunitense, dove, ricevuto un messaggio di errore si viene invitati

pagina web fraudolenta

 

a reinserire la medesima tipologia di dati richiesti dall’allegato. Al termine della procedura si approda su pagine legittime del servizio InBank.

L’analisi di parte del codice php utilizzato dai criminali fornisce una ulteriore informazione sulla loro origine: se si cercano in

codice php

rete informazioni relative al nick name riportato quale firma in seconda riga (// made by NoiDoi) si individuano notizie riferite a due artisti (cetamente estranei ai fatti) del panorama musicale romeno.

 

/da
mail fraudolenta

Phishing CheBanca 2/2014

D3Lab ha rilevato in data odierna un tentativo di phishing a danno degli utenti CheBanca.

La mail di phishing, partita da un host belga, presenta le seguenti caratteristiche:

mail fraudolenta

mittente apparente: [email protected]

oggetto: Inattività del suo conto

 

testo del messaggio (in base 64):

————————————————————————————————————

In filiale ti sono state consegnate 2 buste contenenti le tue credenziali:

 

    La Tessera Personale, su cui sono indicati il tuo Codice Cliente e i Codici Dispositivi.

    Il Codice di Accesso.

 

Le credenziali sono ora attive e pronte per essere utilizzate!

Per inattività del suo conto, le chiediamo di aggiornare il suo conto effettuando

l’accesso nella sua area clienti.

Nell’Area Clienti alla sezione Conto Tascabile>Informazioni > Informazioni sul Conto trovi la copia del Modulo di Apertura firmato

da CheBanca! a conferma dell’attivazione del conto.

 

» Accedi ai servizi online

Con i nostri migliori saluti,

CheBanca! S.p.A.

————————————————————————————————————

dove “Accedi al servizio online” celava il link ad una singola  pagina fraudolenta inoculata in sito web messicano,

pagine web fraudolenta

nella quale era richiesto all’utente il codice cliente, la data di nascita ed il pin, da digitare con il tastierino virtuale.
Inseriti i dati si approdava al sito legittimo di CheBanca.

Il dominio messicano è stato messo off-line mentre redigevamo il presente articolo.

 

/da
mail fraudolenta

Phishing Fineco Bank

Nella giornata odierna l’attività dei segnalatori collaboranti con D3Lab ha permesso l’identificazione di due tentativi di phishing a danno di clienti Fineco Bank.

Le due mail fraudolente, entrambe partite dal medesimo indirizzo IP francese, presentavano le seguenti caratteristiche: 

mail fraudolenta


mittente visualizzato: “FinecoBank”<[email protected]>

oggetto (mail 1): Attenzione! Urgente rinnovo del sistema di sicurezza di pagamenti

oggetto (mail 2): Attenzione! Sistema di sicurezza della nostra banca.

corpo del messaggio:

———————————————————————————————————————————————————————

Gentile Cliente,

Egregi clienti della banca internet FINECO. Vi informiamo su ultime novita del sistema di sicurezza della nostra banca. La rinovata tecnologia e il nuovo server ci permetterano ad entrare all’altro livello di sicureza per i vostri pagamenti online.

La banca FINECO insiste all’esecuzione obbligatoria della procedura di autentificazione ripetuta per transferire il piu presto la vostra informazione personale al nuovo e piu sicuro server della nostra banca.

Per far funzione il vostro conto corente e carta di credito in modo regolare e necesare convalidare i dati al nuovo server proteto (https://www.fineco.it/sicurezza [l’url precedente nasconde il link a due siti compromessi]) usando la combinazione Codice Utente , Password e dati relativi alla carta di credito , altrimenti entro 24 ore il vostro conto sara temporaneo bloccato per far uscire i mezzi finaziari allo scopo di evitare il numero sempre piu incremento di azioni ilicite.

Per maggiori informazioni puo’ contattarci dalla sezione “Help e contatti” in area riservata del sito oppure chiamando i numeri:

– 800.52.52.52 (dall’Italia)
– 02.2899.2899 (dall’estero e da cellulare)

La ringraziamo per aver scelto Fineco.

Cordiali saluti,

Customer Care
FinecoBank

———————————————————————————————————————————————————————

Gli utenti più ingenui che non comprendessero, dall’italiano sgrammatica del testo del messaggio, di trovarsi in presenza di una frode, cliccando sull’url riportato dal messaggio verrebbero condotti dai collegamenti ipertestuali presenti nella due mail a pagine fraudolente inseriti in siti web, presumibilmente violati, collocati sul medesimo server statunitense.

Nella prima pagina, riprodotto nell’immagine sottostante, vengono richieste user name e password di accesso all’account di home

prima pagina fraudolenta

 

banking al fine di “introdurre” la vittima in una cornice grafica a lui nota, inducendolo ad abbassare l’attenzione, per poi chiedergli, nella seconda pagina fraudolenta, dati personali e codici e password relativi alla carta di credito. 

seconda pagina fraudolenta

Dopo aver inserito e confermato i dati la vittima viene ricondotta al sito legittimo di Fineco Bank.

/da

Nessun dump da Carrefour SpA

A seguito della pubblicazione degli articoli riguardi il phishing contro gli utenti Carrefour

Phishing Carrefour via SMS
Continua il phishing Carrefour via SMS

molti lettori hanno commentato fornendoci utili informazioni relativamente alle modalità di realizzazione della frode e sollevando talvolta qualche dubbio riguardo alla gestione dei loro dati da parte di Carrefour SpA, ipotizzando una fuoriuscita di dati sensibili dalla rete delle società.

A tutt’oggi D3Lab esclude che ciò sia avvenuto.

Abbiamo svolto alcune ricerche contattando via mail parte dei commentatori per avere informazioni di prima mano da chi aveva ricevuto l’SMS fraudolento. Sebbene alcuni commentatori fossero effettivamente  clienti Carrefour, inevitabile vista la presenza sul mercato nazionale di tale marchio, molti altri non lo erano e non sono mai stati clienti Carrefour.

D3Lab ha verificato se i numeri di telefono dei commentatori che lo hanno indicato fossero individuabili in rete attraverso l’uso dei motori di ricerca. Anche tale ipotesi è stata fugata dato che diversi numeri segnalatici non sono risultati presenti sul web.

D3Lab reputa quindi che i criminali, assai semplicemente, abbiano realizzato in modo automatizzato le liste di numeri di telefono a cui spedire i messaggi, procedendo quindi ad un invio indiscriminato di SMS.

A parere di D3Lab quanto supposto da alcuni lettori, riguardo la fuoriuscita di dati dei clienti  Carrefour dalle strutture della società stessa, appare quindi privo di fondamento.


Coloro che volessero fornirci informazioni riguardo alla frode possono indicare nei commenti o in mail spedite a [email protected]:

  • numero di telefono da cui sono inviati gli SMS;
  • sito web indicato nel messaggio per l’adesione all’offerta.

Qualsiasi altra informazione quale:

  • valore dell’eventuale ammanco subito dalle vittime sulla carta di credito;
  • tipologia di spesa fatta dai criminali attraverso l’uso indebito della carta di credito;

è gradita.

Non è il caso che ci contattiate telefonicamente, mail e commenti sono sufficienti.

 

D3Lab spera che le informazioni fornite dai lettori e rese pubbliche nei commenti siano di utilità alle forze dell’ordine ed a Carrefour SpA nel contrasto di queste frodi

/da
Phishing Via SMS

Phishing via SMS report

I recenti casi di phishing veicolato via messaggi SMS hanno evidenziato alcune problematiche relative alle attività di contrasto e monitoraggio del fenomeno.
D3Lab ha ritenuto utile esaminarle per comprendere quali potessero essere le azioni più idonee a permettere una tempestiva individuazione delle campagne di attacco al fine di consentire l’applicazione di efficaci azioni di contrasto.

Ne è nato un documento, “Considerazioni sulla modalità di diffusione delle frodi on-line attraverso dispositivi mobili”, indirizzato 

Phishing Via SMS

  

principalmente a CIO/IT Manager ed operatori del settore, pensato quale spunto di riflessione per lo sviluppo di metodiche di gestione e linee operative da adottarsi in risposta alla specifica tipologia di aggressione informatica. 

D3Lab resta in attesa di feedback e considerazioni da parte di operatori del settore e lettori.

Download 

/da