mail fraudolenta

In questo momento di crisi economica le famiglie sono sempre più attente alle offerte nel tentativo di risparmiare anche sulle spese di tutti i giorni. I criminali ne sono consci e, come si è rilevato in passato con le false offerte Tim, Vodafone, Wind e Agip, con molta fantasia e facilità propongono false offerte miranti a catturare i dati delle carte di credito degli utenti più ingenui.

Nella giornata di ieri, domenica 7 Giugno 2013, è stato rilevato un tentativo di frode ad opera dei medesimi autori delle recenti frodi Agip/Eni, facente uso di marchi e loghi Carrefour.

mail fraudolenta

 

Il messaggio di posta elettronica fraudolento, partito da un server britannico,  presenta le seguenti caratteristiche:

Mittente visualizzato:  “Leggi come ottenere 500 Euro da Carrefour” <[email protected]>

Oggetto: Carrefour ti restituisce 500 euro di Buono Spesa

Testo del messaggio:

————————————————————————————————————————————————–

 

Con il DECRETO-LEGGE 8 aprile 2013, n. 35
in cui il Consiglio dei Ministri anticipa i pagamenti alle P.A. e aiuti per le famiglie,

Carrefour Spa ti consente di acquistare la carta Prepagata SpesAmica del valore di 500 Euro al prezzo di 100 Euro

(80% rimborsato dal Ministero dello Sviluppo Economico).

segui le indicazioni su :

Carrefour Italia Spa

 

_________________________________________________________________________

con sede legale in Milano, via Caldera 21, capitale sociale Euro 12.000.000,00 i.v., codice fiscale, partita IVA e numero di iscrizione del Registro Imprese di Milano 08652300156 

————————————————————————————————————————————————–

Il link proposto porta i visitatori a visualizzare la pagina all’url hxxp://carrefour.cable-modem.org, spazio web di un dominio registrato

pagina fraudolenta

prosso No-IP.com. Il sorgente evidenzia come in realtà il codice delle pagine sia visualizzato attraverso un frame, il cui reale sorgente

sorgente pagina

è all’indirizzo evidenziato in rosso nell’immagine soprastante. Il dominio 1nove1.net risulta essere stato registrato il 4 Luglio scorso.

Cliccando sul pulsante “Registrati” al fine di accedere all’offerta, si visualizzano pagine la cui struttura abbiamo imparato a conoscere esaminando i tentativi di frode più recenti a danno della compagnie di telefonia mobile e di Agip/Eni, in cui vengono chiesti dati anagrafici e delle carte di credito

pagina fraudolenta

 

pagina fraudolenta

Le pagine web successive, aventi funzioni di verifica, contengono phishing “nidificati” con richieste di ulteriori dati relativi agli account od ai gestori delle carte i cui dati sono stati inseriti.

falsa verifica carta si

 

falsa verifica poste pay

E’ interessante notare, come ben evidenziato nell’analisi pubblicata su Edgar’s Internet Toos, i molti fattori che accomunano questo attacco con quelli alle compagnie telefoniche e ad Agip/Eni: layout pagine, link relativi, css, domini, ecc… Addirittura il criminale non si è nemmeno preso la briga di ricreare i path interni delle directory, mantenendo, come evidenziato nell’immagine sottostante, quelli relativi ai siti clone usati per le frodi con loghi e marchi Agip/Eni.

dettaglio dell'url 

 

La comunanza di fattori tra i diversi attacchi, così stretta da potersi definire quale modus operandi e firma, permette di correlare molteplici tentativi di frode ad un unico soggetto criminale, presumibilmente non costituito da un singolo individuo. A fronte di una organizzazione a delinquere tanto attiva e spudorata siamo certi le forze dell’ordine sapranno mettere in campo le idonee strutture e risorse. D3Lab rinnova la propria disponibilità a dare ausilio all’attività investigativa.

 

Il cambiamento degli scenari politici in Afghanistan ha a tempo portato la coalizione ISAF a modificare il proprio impegno a favore delle popolazioni e del governo locale. All’iniziale supporto alla formazione della polizia afghana con i police advisor team si è affiancato il supporto alla formazione delle forze armate afghane con i MAT (Military Advisor Team).

D3Lab è stata chiamata a partecipare alla formazione del personale militare italiano inviato in Afghanistan presentando nuovamente, presso le aule del Centro Addestramento Alpino dell’Esercito di Aosta, le lezioni relative al repertamento degli indizi digitali che possono essere rinvenuti in teatro di operazioni.

Onorati del compito assegnatoci!

Falsa mail Eurobet

Eurobet è un sito di scommesse on-line, con dominio .it registrato dalla Eurobet UK Limited sin dal 2000.

L’utente del sito crea presso lo stesso un proprio conto/portafoglio sul quale caricare il credito per effettuare le scommesse e successivamente riscuoterlo. I criminali, che attraverso una mail in cui segnalano problemi di sicurezza relativi all’account mirano a

Falsa mail Eurobet

 

carpire le credenziali di accesso all’account, potrebbero abusare dell’account “conquistato” per svuotare il conto virtuale dal credito accumulato dal legittimo giocatore, o per scommettere con soldi di provenienza illecita, ricaricando il conto da carte di credito i cui dati sono stati carpiti con altri attacchi di phishing.

 

falsa pagina Eurobet

 

La falsa pagina web è finalizzata alla sola cattura di username e password dell’account. Una volta inseriti i dati e premuto il pulsante di invio si approda su una seconda pagina che conferma il corretto svolgimento dell’operazione di verifica. Ogni link presente in quest’ultima pagina conduce al vero sito di scommesse.

 

falsa pagina Eurobet

Cyber Defence Symposium

D3Lab ha avuto il piacere di essere chiamata a partecipare all’edizione 2013 del Cyber Defence Symposium organizzato dalla Scuola Telecomunicazioni delle Forze Armate.

L’evento svoltosi nella splendida cornice di Sestri Levante nelle giornate del 16 e 17 Maggio ha visto la partecipazione di numerosi ospiti, con interventi volti a proporre soluzioni commerciali ed interventi divulgativi/formativi di altissimo livello, con relatori di grande professionalità e competenza quali Giuseppe Dezzani, Paolo Dal Checco e Mattia Epifani per la digital forensics, la dottoressa Francesca Bosco, ricercatrice dell’UNICRI in ambito crime e cyber crime, il dott. Stefano Mele profondo conoscitore degli scenari e strategie internazionali legati alla cyber war, nonché rappresentanti delle forze armate, dagli ufficiali di collegamento presso i comandi internazionali NATO a Talin, dedicati proprio ad affrontare le problematiche cyber dei presenti e futuri conflitti, ai quadri responsabili degli assetti TLC, che consci delle problematiche nascenti stanno sviluppando in proprio soluzioni ed assetti con i quali affrontarle, come i reparti dell’Aeronautica Militare.

Non sono mancati gli interventi relativi a tematiche legali e normative, come quello del Dr. Giuseppe Corasaniti della Procura Generale presso la Corte di Cassazione.

D3Lab ha partecipato trattando con approccio pratico le tematiche della digital forensics sul campo di battaglia e della cyber war.

 

Il Cyber Defence Symposium organizzato dalla Scuola Telecomunicazioni delle Forze Armate è un evento importante, che è bene si continui a ripetere in futuro, rappresentando la presa di coscienza da parte della Difesa della problematica da tempo esistente legate alle minacce presenti in rete.

Cyber Defence Symposium

mail fraudolenta

Dopo Vodafone e Wind anche Telecom Italia Mobile finisce nel mirino dei phisher, interessanti non agli account TIM, ma alle carte di credito degli utenti del gestore di telefonia mobile.

 

mail fraudolenta

 

Il messaggio di posta fraudolento presenta le seguenti caratteristiche:

Oggetto: Telecom Italia Mobile offre!

Mittente apparente: Telecom Italia

Corpo del messaggio:

Gentile cliente,

Telecom Italia Mobile offre il 100% di bonus sul ricaricare il vostro
telefono cellulare in linea.

Ricaricare ora!

© Telecom Italia 2013 – P.IVA 00488410010.

Il codice html con cui il messaggio è composto nasconde sotto le parole “Ricaricare ora!” il collegamento ipertestuale alla pagina web fraudolenta.

Sono arrivate molte copie del messaggio fraudolento evidenziano l’invio dello stesso da molti account diversi:

[email protected] [email protected] [email protected] [email protected] [email protected]

evidenziando in tutti i casi l’invio dal medesimo indirizzo ip francese 94.143.115.XXX

La pagina clone, in hosting su un server con indirizzo ip tedesco, richiede di scegliere il taglio della ricarica, il numero di telefonia

 

pagina web fraudolenta 

 

mobile ed i dati della carta di credito, che vengono validati in base ai circuiti di appartenenza, Visa o Mastercard. Inseriti i dati e premuto il pulsante di conferma si giunge sulla seconda pagina nella quale viene chiesto il secure code.

 

pagina fraudolenta

 

la vittima viene quindi riportata alla home page del sito TIM reale.

Interessante notare che sulla home page del server usato dai criminali è stata inserita una finta pagina di SourceForge

 

finta pagina sourceforge

 

che è possibile confrontare con la sottostante pagina reale del progetto mpg123 su SourceForge.

 

Pagina reale SourceForge

 

cover

Il 20 Febbraio scorso D3Lab ha festeggiato il primo anno di completa operatività!

Si è trattato di un anno intenso che ha visto l’azienda crescere, trovare nuovi consensi e clienti, migliorare i propri servizi. L’impegnativa attività è stata condensata nelle 17 pagine del Rapporto D3Lab 2012, un documento in cui si analizza quanto fatto e rilevato nel 2012 e nel primo bimestre 2013, con particolare riguardo e dettaglio al phishing.

 

cover

Il documento, pensato per società ed aziende interessate ai servizi proposti da D3Lab e per il law enforcement nazionale, non è disponibile in download ma ne deve essere fatta richiesta via mail aziendale scrivendo a [email protected].

 

Indice contenuti

indice

 

Pagina 6

pagina 6

 

pagina 8

pagina 8

 

pagina 10

pagina 10

Per l’anno in corso D3Lab ripropone i corsi di introduzione all’Analisi del Malware ed alla Computer Forensics.
La docenza dei corsi è affidata rispettivamente a Gianni Amato, noto professionista del settore sicurezza italiano, divulgatore e sviluppatore, già curatore del corso svolto nel giugno 2012, e ad Antonio Deidda, Sovrintendente della Polizia Postale, con pluriennale esperienza di analisi digitale nell’ambito di indagini su reati tradizionali e tecnologici.

Il primo corso è rivolto a sistemisti, amministratori di rete, consulenti ICT, personale operante in strutture altamente sensibili, a tutti coloro che possono trovarsi a dover intervenire in qualità di incident response team a seguito di un infezione per tutelare l’azienda evitando la diffusione dell’agente malevolo, determinando come l’infezione è avvenuta e quali dati siano stati carpiti. Gianni Amato, forte della sue esperienza a guida del incident response team di una primaria azienda nazionale, illustrerà non solo la teoria alla base dei malware, ma anche l’approccio pratico con sui affrontare l’infezione, spiegando i retroscena del panorama criminale nel quale il malware prende sempre più piede.

Il secondo corso è invece rivolto a tutti coloro che possono trovarsi nella condizione di dover eseguire accertamenti su sistemi informatici. Antonio Deidda illustrerà ad amministratori di sistema, consulenti ICT, consulenti forensi, personale del law enforcement le corrette metodiche di acquisizione dei supporti di memoria, la modalità di ricerca delle evidence e la loro interpretazione, finalizzata alle specifiche esigenze dell’investigatore. Forte della sua esperienza porterà esempi reali, spiegando le problematiche e modalità per interfacciarsi correttamente con le diverse parti coinvolte dall’attività di indagine. 

I corsi si terranno ad Ivrea:

  • Analisi del Malware si terrà dal 22 al 24 Maggio (3 gg), prezzo 790,00 Euro IVA inclusa, pre-iscrizioni entro il 13 Maggio 2013. Programma ed info;
  • Introduzione alla Computer Forensics dal 3 al 6 Giugno (4 gg), prezzo 990,00 Euro IVA inclusa, pre-iscrizioni entro il 25 Maggio 2013. Programma ed info;
fraud page - pagina fraudolenta

Il phishing è molto una questione di fantasia.

La dimostrazione la si può trarre da questo tentativo di frode a danno dei clienti neo zelandesi della catena di fast food Mc Donald’s, individuato analizzando il phishing internazionale.

Il destinatario del messaggio di posta seguendo il link proposto nella mail giunge ad una pagina web, posizionata su server rumeno.

 

fraud page - pagina fraudolenta

 

L’inganno si basa sulla “promessa” di un premio di 90$ quale ringraziamento per la partecipazione ad un sondaggio relativo all’apprezzamento ed alla soddisfazione per il servizio offerto da Mc Donald’s.

Dopo aver risposto alle domande ed aver premuto il pulsante “Proceed” si viene portati sulla seconda pagina dove sono richiesti dati personali (indirizzo, numeri di telefono, numero della patente) ed i dati della carta di credito.

 

fraud page - pagina fraudolenta

 

Questo semplice caso evidenzia come un criminale fantasioso possa preparare la propria frode contro utenti/clienti dei più svariati enti e servizi, è solo necessaria la fantasia per giustificare agli occhi del destinatario la richiesta dei dati sensibili di interesse.

Non sottovalutate la minaccia del phishing e la fantasia dei criminali.

screenshot file incluso

Nella giornata di ieri sul sito Edgar’s Internet Tools è apparso un nuovo report relativo alla compromissione di siti web italiani attraverso l’inclusione di pagine html.

screenshot file incluso

Indicazione dell’incidente era stata tratta dal ricercatore attraverso la consultazione di specifici data base pubblici. L’esecuzione di ulteriori rilievi relativi agli host ed ai domini coinvolti evidenziava anche il coinvolgimento nell’incidente del sito web di un istituto bancario.

 

inclusione file in sito banca

 

I semplici rilievi esterni svolti, attraverso la raccolta delle informazioni pubbliche presenti on line, dal ricercatore e ripresi da D3Lab non consentivano di determinare attraverso quale via l’intrusione fosse avvenuta, se potesse essere dovuta ad una vulnerabilità presente nel sito dell’ente o in uno degli altri siti web in hosting sul medesimo server ed anch’essi coinvolti nell’incidente, né se l’aggressore potesse aver avuto accesso a dati sensibili e riservati.

A tali quesiti si potrà dare conferma solo con una attenta analisi forense estesa a tutti i domini coinvolti.

Quanto accaduto permette di prospettare, tuttavia, uno scenario abbastanza spiacevoli:

nell’ipotesi che l’attacco fosse stato mirato, l’aggressore avrebbe potuto inserire nello stesso una propria pagina contenente un finto box di login, del tutto simile alla pagina di login  effettivamente presente all’interno del sito violato.

dettagli del box di login legittimo

 

L’immagine soprastante mostra alcuni dettagli del box di login per l’accesso agli account di home banking.
Il file html presentante il box di login contiene un iframe il cui sorgente (il codice del form) è in realtà su un altro host relativo al dominio della società da cui il servizio di internet banking è gestito. I dati sono trasmessi in forma cifrata attraverso SSL.
Questa tendenza (non nuova) degli istituti bancari di presentare il box di login inserito in iframe non consente all’utente di rilevare facilmente, a colpo d’occhio, la presenza di un “collegamento sicuro”, caratteristica che viene spesso indicata dagli istituti bancari stessi e da chi fa informazione e divulgazione quale segno da ricercasi per sincerarsi di non essere in pagine fraudolente.

L’utente così abituatosi ad effettuare il login al proprio account di home banking da pagine web non indicanti chiaramente l’utilizzo di protocolli sicuri avrebbe potuto riconoscere un falso box di login inserito da un attaccante all’interno del sito della banca? O tranquillizzato dal fatto di trovarsi all’interno di un dominio a lui noto avrebbe inserito con tranquillità i propri dati?

Occorrerebbe fare ancora due valutazioni sull’opportunità di mettere il sito web di un istituto bancario in hosting condiviso e sull’eventuale utilità che vulnerability assessment o penetration test avrebbero potuto avere se svolti con regolarità, ma siamo certi che chi legge possa fare da se le proprie valutazioni.

Poteva essere un phishing perfetto … fortunatamente era solo un defacer ed i cyber criminali non sono solo dediti al phishing!

L’istituto bancario è stato notiziato di quanto rilevato.

 

mail fraudolenta

Non sempre la struttura realizzata dai cyber-criminali funziona al primo tentativo.

Nella primissime ore della mattina è stato rilevato un tentativo di frode ai danni dei clienti CheBanca. Il messaggio di posta fraudolento, attraverso cui è stato veicolato l’attacco, presenta le seguenti caratteristiche:

Oggetto: Hai un nuovo messaggio

Mittente apparente: From: “CheBanca servizi” <[email protected]>

Corpo del messaggio:

 

Gentile Cliente,
************************************************************

Per utilizzare i servizi online e in caso di mancato accesso o non funzionamento dei servizi necessario:

  • verificare il corretto inserimento del nome utente e della password.
  • effettuare l’aggiornamento dei dati del module di accesso.

************************************************************

Accedi per effettuare l’aggiornamento dei dati :

Link: http://www.chebanca.it/servizi&online/accedi.php

© 2008 – 2013 CheBanca! S.p.A. – Gruppo Bancario Mediobanca | P.IVA 10359360152

 

mail fraudolenta

 

Il link ipertestuale nascondeva l’url a file inseriti all’interno di un sito in hosting su server statunitense.
La pagine di phishing non erano tuttavia visualizzabili, presumibilmente per impostazioni dei permessi non corrette.

 

confronto contenuto directory

 

Poco dopo la directory ospitante le pagine fraudolente era stata rimossa, i file rimasti lasciano ipotizzare che l’azione di pulizia sia stata effettuata direttamente dal phisher che, accortosi del malfunzionamento della struttura allestita, si preparava a ricollocarla altrove.

Il messaggio di posta fraudolento risulta essere stato inviato, poco prima delle 5 ora italiana, da indirizzo ip tedesco attraverso server di posta mongoli, malesi e giapponesi.