D3Lab

Tesco Bank phishing

Tesco is one of the biggest general merchandise retailer operating worldwide. Since several years Tesco offers phone and bank services.

Tesco Bank is one of the targets of cyber criminals, interested in capturing home banking and credit cards data.

In the Net we can find mainly one phishing kit. It’s composed by 2 folders called tesav/ and tescr/, both containig about a hundred html files, all equal, and different php files, as showed in pictures below.

files in tesav/ directory

files in tescr/ directory

The two directory show to the visitors phishing pages that use two different tempaltes:

dir tesav template

dir tesav/ step 1

dir tesav/ step 2

dir tesav/ step 3

dir tescr template

dir tescr/ step 1

dir tescr/ step 2

dir tescr/ step 3

dir tescr/ structure

In both cases cyber criminals ask for account access data and personal data, but only pages in tescr/ directory ask for credit card data. In all cases, after sending data in the third page, visitors go back to trusted Tesco Bank web site.

D3Lab started monitoring phishing against Tesco Bank users in the beginning of the last August, identifying 58 different kit installation. If each kit presents 200 html pages, the phisher may count on 11600 different fraud url.

Analysing phishing kit is possible determinate that stolen credentials have been sent via mail to criminals .

D3Lab identified ten different email addresses (gmail.com, aol.co.uk, hotmail.co.uk, bluemail.com, mail.mn) used by criminals, that could be operating at least in two or three different teams.

Luckily Tesco Bank seems to be very attentive about the on-line fraud problem, in it’s web site it presents several pages about phishing, fraud and how to operate in case them occur:

Guard against phishing;

How to identify a genuine Tesco Bank email;

How Fraud occurs;

How we protect you;

Security and fraud.

Update 2016/11/08 (three years late):

phishing against Tesco Bank users, D3Lab monitoring

22 Novembre 2013/da Denis D3Lab

Con cosa vengono visitate le pagine di phishing

Non categorizzato

L’avvento dei dispositivi mobili porterà alla fine del fenomeno phishing?

L’analisi di alcuni dati estratti da file di log relativi a siti web coinvolti in recenti casi di phishing ai danni degli utenti di un ente

italiano forniscono alcune informazioni interessanti. I due casi in esame hanno permesso di raccogliere informazioni relativa a 218 differenti visitatori delle pagine di phishing. Ipotizzando che nessuno di loro abbia utilizzato estensioni del browser atte a modificare lo user agent trasmesso dal browser al server e che quindi i dati sia corretti, si evidenzia, come riportato nella tabella sottostante,

come il 24,7 % sia giunto sulle pagine fraudolente facendo uso di dispositivi mobili, il 61,9 % abbia fatto uso di sistemi operativi Microsoft Windows, il 41,5 % dei quali datati, ed il restante 38,1 di sistemi operativi di derivazione Unix, rientrando tra di essi i dispositivi mobili.

Per il futuro ci si può aspettare un aumento dei dispositivi mobili, in considerazione del fatto che anche gli smartphone di recente produzione hanno display sufficientemente ampi da consentire una fruizione abbastanza comoda dei contenuti web.

Sebbene i browser di cui tali dispositivi sono dotati implementino i meccanismi di sicurezza atti ad avvisare l’utente della visualizzazione delle pagine web fraudolente, non sempre queste sono segnalate tempestivamente ed esiste, quindi, un intervallo temporale nel quale il criminale può perpetrare il proprio atto criminoso, traendo vantaggio anche dalle ridotte dimensioni del display.
Queste potrebbero non permettere all’utente di riconoscere correttamente il dominio visitato, dettaglio essenziale a cui porre attenzione se pensiamo che i criminali, pur di riuscire nella frode, sono disposti a spendere per un certificato SSL da abbinare a domini creati ad-hoc.
Certificato la cui presenza è invece evidenziata chiaramente nella barra degli indirizzi, distogliendo l’attenzione della vittima dal reale dominio visitato e mal visualizzato nel display di ridotte dimensioni del dispositivo mobile.

I dati relativi ai sistemi operativi utilizzati lasciano poi il fianco a diverse considerazioni: da una parte esiste la possibilità che i criminali implementino le pagine di phishing con exploit volti a colpire browser e sistemi datati per inocularvi malware, metodica al momento poco diffusa, dall’altra il crescente numero di utilizzatori di dispositivi mobili, rappresentanti già quasi un quarto del totale, potrebbe portare le organizzazioni criminali ad investire maggiormente per lo sviluppo di applicazioni per tali dispositivi, da distribuirsi attraverso pagine e mail di phishing, o fatte tanto bene da riuscire a superare i controlli degli apps store.

6 Novembre 2013/da Denis D3Lab

Phishing Vodafone + carburanti

Non categorizzato

I criminali propongono nuovamente allettanti offerte agli italiani, impegnati a far quadrare i propri bilanci, con il solo fine di carpire i dati delle loro carte di credito.

La frode odierna ha come principali obbiettivi i clienti Vodafone e tenta di ingannarli proponendo loro di ottenere, a seguito di una ricarica di almeno 20,00 Euro, un buono carburante del valore di 20,00 Euro da spendersi presso le stazioni di servizio ENI, Tamoil ed ERG.

La mail fraudolenta odierna presenta le seguenti caratteristiche:

mittente apparente: Vodafone;

oggetto: Vodаfoոe Yοս ρrеmіa tսttі i cliеnti сoո bυоni carbυraոte alle stazіoni ԁi sеrѵіzi Εոi, Τаmоіl, Тօtal ERԌ іd: 667674320;

testo del messaggio (codificato in base 64):

A Novembre Vodafone You premia tutti i clienti con buoni carburante alle stazioni di servizi Eni, Tamoil, Total ERG Per sfruttare la promozione, basta fare una ricarica da almeno 20 euro entro il 5 novembre e ricevi 20 euro regalo buoni carburante.

Successivamente ricevrai entro 12 ore un SMS con codice buono carburante. Per usarlo è necessario recarsi presso una delle Eni Station, Tamoil e Total ERG. Al momento del pagamento, basta mostrare il codice (o i codici) alla cassa.

Ricarica: Ricevi il tuo Buono

Tutte le copie del messaggio di posta fraudolento rilevate da D3Lab risultano essere state inviate dallo stesso indirizzo IP britannico ed essere transitate su server di posta elettronica spagnoli, statunitensi e cinesi.

Cliccando sul collegamento ipertestuale i destinatari del messaggio vengono portati a pagine web fraudolente all’url

http://scroncewellandpump.com/vodafone/[email protected]

La presenza dell’indirizzo mail del destinatario all’interno dell’url consente ai criminali di avere url sempre differenti, idonei ad evadere i meccanismi di black listing implementati quali meccanismi di sicurezza dai browser più diffusi. In realtà, differentemente da quanto avvenuto in altri casi, l’indirizzo mail non è obbligatorio al fine di visualizzare la pagina web fraudolenta. La stessa, come già avvenuto in passato, è realizzata usando un unica immagine di sfondo >su cui vengono sovrapposti, grazie al codice html, i campi del form in cui la vittima inserirà i propri dati di carta di credito.

In base alla tipologia di carta di credito inserita il visitatore varrà indirizzato ad una successiva pagina di validazione del secure code di Carta Sì (vedasi iIlustrazione 3) o a pagine riproducenti la grafica di Poste Italiane o Lottomatica nelle quali verranno richiesti i dati di accesso ai relativi account.

Il dominio SCRONCEWELLANDPUMP.COM , nel cui sito web in cui sono state inserite le pagine fraudolente, risulta di recente creazione

Domain Name: SCRONCEWELLANDPUMP.COM

Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: NS1.AVIATIONDOMAINS.COM
Name Server: NS2.AVIATIONDOMAINS.COM
Status: clientTransferProhibited
Updated Date: 20-oct-2013
Creation Date: 28-jun-2013
Expiration Date: 28-jun-2014

Si individuano in rete indicazioni dell'effettiva esistenza della società “Terry Scronce Well Drilling & Pump Service“, tuttavia l'essenza di contenuti nel sito web, ad eccezione della home page, nemmeno individuabili nelle copie di cache dei motori di ricerca, unitamente alla recente data di creazione del dominio, lascerebbero ipotizzare la creazione ad hoc da parte dei criminali al fine perpetrare attività fraudolente.

4 Novembre 2013/da Denis D3Lab

Phishing UBI Banca

Non categorizzato

Da tempo si è rilevato un forte orientamento dei criminali verso le carte di credito, strumento di più facile abuso a seguito della sempre più diffusa adozione di strumenti di autenticazione forte.

In tal senso si è mosso anche il gruppo criminale identificato da più lungo tempo che nella giornata odierna ha rivolto le proprie attenzioni ai clienti di UBI Banca nel tentativo di carpire loro i dati delle carte di credito con l’invio di una mail fraudolenta contenente avente le seguenti caratteristiche:

Mittente visualizzato: non rilevato

Oggetto: Proteggi il tuo accounto UBI Banca.

Testo della mail:

———————————————————————————

Gentile Cliente,

Abbiamo rilevato attivita irregolari sul tuo UBI Internet banking sul conto 18/10/2013.

Per la tua protezione, necessario verificare questo attivita prima di poter continuare a utilizzare il conto.

Si prega di scaricare il documento allegato alla presente e-mail a rivedere le attivita del proprio account.

Rivedremo l’attivita sul tuo conto con voi e alla verifica, e ci consentira di eliminare le restrizioni imposte alle il tuo account.

Se scegliete di ignorare la nostra richiesta, ci lasciano scelta ma di sospendere temporaly tuo account.

Se scegli di ignorare la nostra richiesta, ci lasciano scelta di sospendere temporaneamente il tuo account.

Ti chiediamo di consentire almeno 72 ore per il caso di essere indagato e si consiglia di verificare il tuo conto in quel momento.

Con i migliori saluti,

Roberto Baggio
Responsabile della comunicazione del Cliente

?Gruppo UBI Banca 2011 – P. I. 03053920165

———————————————————————————

contenente un allegato html che aperto in locale mostra a browser la pagina riprodotta dall’immagine sottostante

ed invia le credenziali, attraverso il tag form, ad un file php posizionato in sito web greco.

Anche in questo caso siamo di fronte ad un gruppo criminale che è stato possibile “profilare” sin dal 2009, responsabile nel corso degli anni di attacchi a moltissime casse di risparmio e banche regionali e provinciali, nonché degli attacchi di quest’ultimo anno a Poste, Visa, Carta Si, Deutsche Bank, ecc..

Update:

Alle ore 11.49 la pagina fraudolenta che gestiva il form non è più raggiungibile.

Update Sabato 19 Ottobre 2013:

nella tarda serata di ieri, Venerdì 18/10/2013, il file è stato nuovamente caricato dai criminali, i quali sin dal 2009 utilizzano quasi sempre la medesima vulnerabilità per eseguire l’upload dei file.

18 Ottobre 2013/da Denis D3Lab

Il team specializzato sul phishing non bancario

Non categorizzato

Il tentativo di frode a danno degli utenti delle catene di supermercati perdura.

Si rileva come il dominio di attacco sia ancora attivo, i criminali si sono limitati modificare la sorgente del frame richiamato dalla pagina di No-Ip.com

Dobbiamo constatare che il cambio di destinazione realizzato dai cyber criminali non è dovuto ad una qualche reazione di contrasto, infatti le pagine da cui veniva tratto il frame nella giornata di ieri (http://www.buonsconto.com/Persolo5euro.html) sono anch’esse attive.

Il tentativo di frode in questione ci mostra un gruppo criminale attivo nell’attaccare enti non bancari (Agip/Eni, Carrefour ed ora le varie catene di grande distribuzione) ma piuttosto pigro.

Se infatti esaminiamo i siti clone che vengono di volta in volta allestiti, troviamo in essi le tracce dei precedenti tentativi di frode

tengono lontani i bot

con chiari riferimenti ai precedenti tentativi di frodi di cui riutilizzano i kit senza prendersi il fastidio di mettervi mano per adeguarli al nuovo target

Rimasugli delle frodi agli utenti Eni/Agip

Attività di monitoraggio protratte nel tempo e svolte a tutto campo consentono di rilevare, grazie a fattori comuni atti a delineare i modus operandi, le tracce di attività svolte da vere e proprie organizzazioni a delinquere finalizzate alla truffa, tracce che sul lungo periodo è possibile individuare anche su host nazionali, con tutto ciò che questo potrebbe permettere.

Le società i cui marchi vengono proposti e di cui è stato possibile individuare recapiti diretti e funzionanti sono state notiziate sin da ieri.

17 Ottobre 2013/da Denis D3Lab

Supermarket Phishing

Non categorizzato

In un momento tanto difficile per l’economia delle famiglie, attanagliate dal caro vita, dalle scadenze fiscali e dall’assenza di lavoro, i cyber criminali, dimostrandosi soggetti ad un livello sempre più abbietto, decidono di lucrare colpendo fasce sempre più ampie di popolazione con false offerte relative alla spesa di tutti i giorni.

D3Lab ha appena rilevato il nuovo tentativo di frode, ad opera di coloro che già si sono resi autori del phishing contro Agip/Eni e Carrefour. La mail fraudolenta, riportata nell’immagine sottostante, presenta le seguenti caratteristiche

Mittente visualizzato: “Ritira 50 euro in buoni supermercato” <[email protected]>

Oggetto: Richiedi il buono sconto di 50 euro a 5 euro !

Testo del messaggio:

————————————————————-

PAGANDO SOLO 5€,AVRAI DIRITTO A: – 50 EURO DA SPENDERE NEL SUPERMERCATO PIÙ VICINO A TE. VERRA’ RECAPITATO AL TUO INDIRIZZO DA UTILIZZARE PRESSO I SUPERMERCATI : AUCHAN – LD – LIDL – COOP – CONAD . CARREFOUR – DESPAR – IPER. SU UNA SPESA MINIMA DI 100 EURO NON CUMULABILI. http://www.buonisconti.tv/ Servizio offerto da: Europublic Srl Via Campo Rotondo n.14 00132 Roma RM P.Iva 01584760431 REA RM12998/57

————————————————————

La mail è partita da una rete locale, presumibilmente aziendale dato il range di indirizzi IP rilevabile dagli headers, per transitare su un server di posta britannico nelle prime ore della notte appena trascorsa.

Il link proposto porta effettivamente all’unica pagina del dominio buonisconti.tv, dove un frame trae la sua sorgente dall’url

http://www.buonsconto.com/Persolo5euro.html

Entrambi i domini sono di recentissima registrazione

la pagina web fraudolenta, riprodotta nell’immagine sottostante, propone al costo di soli 5 Euro l’adesione ad un offerta per la

ricezione di un buono sconto da 50 Euro spendibile presso i supermercati Auchan, Carrefour, LD Market, Lidl, Despar, Coop, Conad e Iper. Cliccando sul pulsante procedi si viene portati ad una seconda pagina in cui vengono richiesti dati anagrafici

compilata la quale si prosegue verso la richiesta di dati della carta di credito e, nelle pagine successive dei relativi codici di verifica

I criminali hanno cercato di nascondere il proprio operato inserendo su buonosconto.com pagine di un sito di e-commerce fasullo, basta fare riferimento ai recapiti di contatto per rendersi conto della natura posticcia del sito, atta unicamente a trarre in inganno chi dovesse svolgere accertamenti superficiali.

Che gli autori di tale frode siano i medesimi che hanno colpito Agip/Eni e Carrefour Italia, lo si desume dal template delle pagine in cui vengono richiesti e verificati i dati anagrafici e quelli di carta di credito, dal modus operandi facente uso di domini registrati presso No-Ip e di frame, nonché dalle strutture dei siti fraudolenti, rilevabili dall’esame dei codici html. Se infatti osserviamo il link nascosto dal pulsante “Procedi” posto nella prima pagina rileviamo l’url seguente:

http://www.buonsconto.com/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php

possiamo in esso notare la presenza delle stringhe travel.eni.com, iveportal, W155.PKG_RICONLINE.show_pageNL22.php

Abbiamo a che fare con criminali pigri, che pur di non riscrivere i collegamenti, i link, mantengono nomi di directory non attinenti alla frode stessa.

Quanto accaduto nell’anno in corso dimostra come il phishing non sia una minaccia rivolta solo ai conti correnti ed agli istituti di credito. Con un minimo di fantasia i criminali possono riproporre attacchi di phishing motivandoli con offerte di spesa, carburante, rimborsi fiscali, pagamenti tasse e quant’altro una mente dalla fantasia vivace può inventarsi.

Nel caso specifico quale degli enti coinvolti (le diverse catene di iper e super mercati) sarà intenzionata ad intervenire attivando la propria struttura a contrasto della frode. Nessuna di esse trae un danno economico diretto e se vogliamo anche quello di immagine può considerarsi spalmabile tra tutti i diversi marchi. Questa tipologia di phishing rischia di mostrarsi efficace e duratura se le parti coinvolte non si riterranno tali ed eviteranno azioni dirette a contrasto del fenomeno.

16 Ottobre 2013/da Denis D3Lab

Vishing Poste Italiane

Non categorizzato

Parlando di frodi informatiche finalizzato al furto di dati personali si sente spesso parlare di vishing, ossia del tentativo di sfruttare le tecnologia voip legate alla telefonia per simulare il contatto con un call center dell’ente di cui la vittima è cliente.

Nella giornata di sabato 31 Agosto 2013 D3Lab ha rilevato un messaggio di posta elettronica rappresentante il vettore di attacco per un tentativo di frode della tipologia vishing volto a colpire gli utenti delle carte Poste Pay.

Il messaggio di posta partito da un indirizzo IP britannico verso le 16:00, ora italiana, presenta le seguenti caratteristiche:

Mittente visualizzato: PosteItaliane<[email protected]>

Oggetto: Messaggio di emergenza!

Testo del messaggio:

———————————————————————————————————————

Gentile clienti,

Siamo spiacenti di informarvi che a causa di attività sospette vostro carta prepagata PostePay è stato temporaneamente sospeso!

Al fine di sbloccare si prega di chiamare a +39.069.480.39.84

Grazie!

———————————————————————————————————————

Il numero con prefisso di Roma è stato presumibilmente registrato presso un provider di telefonia Voip. Telefonando al numero indicato nel messaggio di posta elettronica fraudolento si ascolta il seguente messaggio registrato:

“Benvenuti a Poste Italiane Dipartimento di Sicurezza. Siamo spiacenti di informarvi che a causa di attività sospette vostro carta prepagata Poste Pay è stato temporaneamente sospeso. Al fine di sbloccare, per favore, inserisci il tuo sedici cifre riportate sul fronte della carta.”

(Ascolta il messaggio)

Non vi sono indicazioni se il numero della carta di credito vada digitato o dettato, in entrambi i casi non si riceve alcuna risposta di conferma e dopo due ripetizioni la chiamata viene terminata.

La voce femminile che recita il messaggio presenta un inequivocabile accento straniero, presumibilmente dell’Europa dell’Est, particolare che potrebbe anche non portare ad essere sospettosi dal momento che molte società hanno affidato servizi di call center a società operanti all’estero o facenti uso di operatori stranieri.

Il messaggio presenta tuttavia diversi errori non accettabili per una società che tenga alla qualità dei propri servizi.

Una semplice ricerca in rete, svolta poche ore dopo la ricezione del messaggio, permetteva già di rilevare l’esistenza di sospetti in rete riguardo tale numero. Tuttavia la scelta dei criminali di colpire durante il week-end, in giorni ed orari in cui gli uffici postali sono chiusi, con l’impossibilità per gli utenti di svolgere verifiche, nonché in un periodo in le persone sono in vacanza, magari fuori parta, condizione nella quale il blocco della carta potrebbe rappresentare un problema non da poco, potrebbe consentire ai criminali di mietere diverse vittime.

1 Settembre 2013/da Denis D3Lab

Phishing H3G

Non categorizzato

Inevitabilmente, dopo Vodafone, Tim e Wind, è arrivato (o meglio tornato) anche il phishing a danno degli utenti H3G.

La mail fraudolenta, rilevata nel primo pomeriggio odierno, partita da un indirizzo ip britannico e giunta in più copie

ai medesimi indirizzi di posta transitando da server di posta canadesi, russi o brasiliani, presenta le seguenti caratteristiche:

Mittente visualizzato: 3 Italia <[email protected]>

Mittente visualizzato: “3 Italia” <[email protected]>

Oggetto: Offerta estiva da 3 Italia!

Oggetto: Offerta estiva da 3 telefonia mobile!

Testo del messaggio (codificato in base64):

———————————————————————————————————–

Solo da 3 Italia, la nuova offerta estiva: 1 = 2!
Basta seguire il link qui sotto, ricaricare il cellulare con
i 5 a 30 euro e si ha la garanzia di ricevere un bonus del 100%.

Ricarica ora!

———————————————————————————————————–

Cliccando il link proposto dalla mail fraudolenta si viene portati su pagine web fraudolente inserite in un server web statunitense,

identificato dal solo indirizzo ip, su cui non risultano essere attivi domini. La prima pagina fraudolenta, riprendendo la truffa del bonus di pari valore della ricarica effettuata, richiede il numero di telefono da ricaricare ed i dati della carta di credito. La pagina successiva richiede il secure code di Visa/Mastercard, notare che non viene riportata la frase di sicurezza

che ogni utente dovrebbe aver scelto impostando il secure code e che dovrebbe essere riproposta all’atto della verifica, confermando la legittimità della richiesta dei dati della carta di credito. Consegnato anche l’ultimo codice ai criminali si viene riportati su pagine del legittimo sito web H3G.

Alcune caratteristiche attuative lasciano ipotizzare si tratti dei medesimi autori delle recenti frodi Agos Ducato.

jhu

1 Agosto 2013/da Denis D3Lab

Phishing Carrefour Italia – i criminali bissano

Non categorizzato

In modo abbastanza prevedibile è tornato il phishing contro i clienti Carrefour. I criminali hanno bissato l’offerta (fraudolenta) di una carta prepagata Carrefour del valor di 500,00 Euro al costo di soli 100,00 Euro.

Le pagine fraudolente venivano visualizzate all’url http://carrefourfast.com, venendo in realtà tratte attraverso un frame dall’url

http://www.comcarrefourpress.com/Carrefour/index.html, come mostrato dal codice html visibile nell’immagine sottostante.

Cliccando sul pulsante “Registrati ora” si veniva portati a successive pagine nelle quali venivano richiesti i dati anagrafici e della carta di credito.

Mentre dominio carrefourfast.com risultava creato nella giornata di ieri 29 Luglio 2013 ed in hosting su un server straniero,

whois carrefourfast.com

il dominio comcarrefourpress.com risultava essere stato registrato il 26 Luglio presso Register.it, attuale manteiner.

whois comcarrefourpress.com

Carrefour SpA è stata notiziata del tentativo di frode in atto e nel primo pomeriggio odierno le pagine sul server italiano non erano più presenti, sebbene il dominio risulti ancora attivo.

Le modalità attuative e diversi refusi presenti nel codice sembrerebbero indicare che gli autori siano i medesimi della frode individuata l’8 Luglio scorso e che si tratti della medesima organizzazione criminale che in passato aveva già colpito anche Agip/Eni.

Il fatto che i criminali abbiano ripetuto l’attacco potrebbe indicare che qualche risultano l’hanno tratto. Il gruppo Carrefour è presente in

(immagine tratta da http://www.carrefouritalia.it/gruppo/azienda/rete_di_vendita.html)

quasi tutte le regioni italiane con ipermercati, market ed express, con una particolare concentrazione nel nord ovest e nel Lazio. La probabilità che i messaggi di posta ingannevoli giungano nelle mailbox di effettivi clienti del gruppo non è quindi irrisoria.

30 Luglio 2013/da Denis D3Lab

All activities of this computer have been recorded. All your files are encrypted.

Non categorizzato

Continua il tentativo dei criminali di spillare soldi agli utenti più ingenui della rete attraverso la falsa intimazione da parte di organi di polizia a pagare una sanzione a seguito di presunte attività criminali perpetrate attraverso l’uso del proprio pc.

Pagine web con i loghi di Europol ed FBI

indicano che tutta l’attività del pc viene registrata e che tutti i file sono stati criptati a seguito di possibili azioni illecite svolte al computer:

ATTENTION!
All your files are encrypted to prevent their distribution and use.
Due to violations of the law, your browser has been blocked
because of at least one of the reasons below.

You have been subjected to violation of Copyright and Related Rights Law and illegally using or distributing copyrighted contents such as Video, Music or\and Software (files were found in your browser’s temporary files and your documents), thus conflicting with Article 1, Section 8, Clause 8 of the Criminal Code of the Great Britain.
Article 1, Section 8, Cause 8 of the Criminal Code states a fine or two hundred minimal wages or a deprivation of liberty of two to eight years.
You have been viewing or distributing prohibited Pornographic contents: Child Porno photos and such, were found in browser’s temporary files and your documents.
Thus, you are violating article 202 of the Criminal Code of the Great Britain. Article 202 of the Criminal Code states a deprivation of liberty of four to twelve years.
Illegal access has been initiated from your PC without your knowledge or consent, your PC may be infected with malware, thus you are violating the law of Neglectful Use of your Personal Computer. Article 210 of the Criminal Code declares a fine of up to £50,000 and/or deprivation of liberty of four to nine years.
Pursuant to the amendment of the Criminal Code of the Great Britain of May 28, 2011, this law infringement (if it is a first time offence) may be considered as conditional in case you pay the fine.

Naturalmente gli autori della frode propongono una possibile soluzione anche a fronte di reati tanto gravi come la detenzione di materiale pedo pornografico citata al punto 2

To unlock your computer and to avoid other legal consequences, you are obliged to pay a release fee of £200. Payable through Ukash (you must purchase the Ukash card and enter the code). You can buy the card at any store or gas station, payzone or epay terminal location.

Find the nearest epay or payzone location.
Go to any location with a PayPoint or Payzone terminal.
Ask for Ukash: 200.00GBP

Please note: Fines can only be paid within 12 hours. As soon as 12 hours expire, the possibility to pay the fine is lost forever. All your PC data will be detained and criminal’s procedure will be initiated against you if the fine will not be paid!

Basta pagare 200 sterline attraverso il circuito di moneta elettronica Ukash!

Per semplificare la vita a chi teme di essere un reo i veri criminali forniscono le indicazioni per l’acquisto di carte Ukash

inserito un qualsiasi codice numerico di 19 cifre, tale è la lunghezza dei codici Ukash si ottiene la promessa dello sblocco/dissequestro del computer in 12 ore!

All’apertura delle pagine sopra mostrate la barra del browser mostrerà la dicitura “YOUR BROWSER HAS BEEN LOCKED” e i più ingenui potrebbero spaventarsi nel momento incui cercando di chiudere la pagina otterranno un minaccioso pop-up

indicante l’avvio di un procedimento nel caso non si ottemperi al pagamento secondo le modalità descritte.

Gli url rilevati da D3Lab

hxxp://europol.europe.eu.id6575465334-3999456674.k8381.com/
hxxp://fbi.gov.id657546456-3999456674.k8381.com/

fanno riferimento a pagine gestite presumibilmente attraverso rewrite e htaccess, apparentemente inserite in un sito web di

incontri compromesso. Apparentemente htaccess interviene rilevando le stringe europol e fbi.gov ad inizio url, infatti gli url

hxxp://europol.k8381.com/
hxxp://fbi.gov.k8381.com/

conducono alle medesime pagine viste sopra.

Il sito k8381.com sembra in realtà essere un comodo contenitore per i file costituenti la struttura della frode, la registrazione del dominio risale infatti a solo 8 giorni fa

Domain Name: K8381.COM Registrar: EVOPLUS LTD Whois Server: whois.evonames.com Referral URL: http://www.evonames.com Name Server: NS1.TOPDNS.ME Name Server: NS2.TOPDNS.ME Name Server: NS3.TOPDNS.ME Status: ok Updated Date: 10-jul-2013 Creation Date: 08-jul-2013 Expiration Date: 08-jul-2014

i motori di ricerca non danno nessuna informazione, WayBackMachine riporta screenshot solo per lo scorso 14 Luglio

e ogni tentativo di registrarsi non sortisce alcun effetto.

Sebbene questo tipo di frode possa apparire dozzinale si ha testimonianza diretta di persone ne sono state vittima.

16 Luglio 2013/da Denis D3Lab

ATTENTION!All your files are encrypted to prevent their distribution and use.Due to violations of the law, your browser has been blockedbecause of at least one of the reasons below.

ATTENTION!
All your files are encrypted to prevent their distribution and use.
Due to violations of the law, your browser has been blocked
because of at least one of the reasons below.