Nella giornata di ieri sul sito Edgar’s Internet Tools è apparso un nuovo report relativo alla compromissione di siti web italiani attraverso l’inclusione di pagine html.

Indicazione dell’incidente era stata tratta dal ricercatore attraverso la consultazione di specifici data base pubblici. L’esecuzione di ulteriori rilievi relativi agli host ed ai domini coinvolti evidenziava anche il coinvolgimento nell’incidente del sito web di un istituto bancario.

I semplici rilievi esterni svolti, attraverso la raccolta delle informazioni pubbliche presenti on line, dal ricercatore e ripresi da D3Lab non consentivano di determinare attraverso quale via l’intrusione fosse avvenuta, se potesse essere dovuta ad una vulnerabilità presente nel sito dell’ente o in uno degli altri siti web in hosting sul medesimo server ed anch’essi coinvolti nell’incidente, né se l’aggressore potesse aver avuto accesso a dati sensibili e riservati.

A tali quesiti si potrà dare conferma solo con una attenta analisi forense estesa a tutti i domini coinvolti.

Quanto accaduto permette di prospettare, tuttavia, uno scenario abbastanza spiacevoli:

nell’ipotesi che l’attacco fosse stato mirato, l’aggressore avrebbe potuto inserire nello stesso una propria pagina contenente un finto box di login, del tutto simile alla pagina di login  effettivamente presente all’interno del sito violato.

L’immagine soprastante mostra alcuni dettagli del box di login per l’accesso agli account di home banking.
Il file html presentante il box di login contiene un iframe il cui sorgente (il codice del form) è in realtà su un altro host relativo al dominio della società da cui il servizio di internet banking è gestito. I dati sono trasmessi in forma cifrata attraverso SSL.
Questa tendenza (non nuova) degli istituti bancari di presentare il box di login inserito in iframe non consente all’utente di rilevare facilmente, a colpo d’occhio, la presenza di un “collegamento sicuro”, caratteristica che viene spesso indicata dagli istituti bancari stessi e da chi fa informazione e divulgazione quale segno da ricercasi per sincerarsi di non essere in pagine fraudolente.

L’utente così abituatosi ad effettuare il login al proprio account di home banking da pagine web non indicanti chiaramente l’utilizzo di protocolli sicuri avrebbe potuto riconoscere un falso box di login inserito da un attaccante all’interno del sito della banca? O tranquillizzato dal fatto di trovarsi all’interno di un dominio a lui noto avrebbe inserito con tranquillità i propri dati?

Occorrerebbe fare ancora due valutazioni sull’opportunità di mettere il sito web di un istituto bancario in hosting condiviso e sull’eventuale utilità che vulnerability assessment o penetration test avrebbero potuto avere se svolti con regolarità, ma siamo certi che chi legge possa fare da se le proprie valutazioni.

Poteva essere un phishing perfetto … fortunatamente era solo un defacer ed i cyber criminali non sono solo dediti al phishing!

L’istituto bancario è stato notiziato di quanto rilevato.

E sicuramente singolare l’attacco di phishing rilevato il giorno 6 Marzo 2013 ai danni del Comune di Torino.
Le informazioni in possesso di D3Lab sono purtroppo molto scarne. Lo screenshot generato dai sistemi automatici ha consentito di congelare unicamente la resa grafica ed il testo della pagina fraudolenta. Un messaggio scritto in italiano sgrammaticato, paventando problematiche relativa a problemi causati da un virus alla banca dati dell’ente, richiedeva l’inserimento delle credenziali di accesso alla web mail del in uso al personale del Comune.

Nell’ipotesi si trattasse di un phishing mirato, testa di ponte ad un possibile attacco informatico al comune, ci si aspetterebbe quanto meno un messaggio di posta ed una pagina web scritta in ottimo italiano. Proprio la sua assenza lascerebbe ipotizzare l’estraneità di movimenti/organizzazioni nazionali. 

La pagina web fraudolenta era in hosting in un server statunitense.

Appare doveroso domandarsi se vi sia qualche collegamento con un altra pagina di phishing realizzata attraverso Google Docs, individuata il 19 Febbraio 2013, sempre facente riferimento a Torino, graficamente più curata, per quanto dall’aspetto insolito.

Anche in questo caso non è, sfortunatamente, stato possibile acquisire maggiori informazioni.

Update 08/03/2013 10:59

Alcune considerazioni relative all’attacco in questione.

Troppo spesso chi subisce l’azione dei cyber criminali, nella convinzione che questi abbiano ineguagliabili capacità tali da consentir loro di muoversi invisibili nella rete, tende a ritenere inutile l’azione investigativa/repressiva che potrebbe seguire una eventuale denuncia.

In realtà così non è, ma spesso la possibilità di individuare il passo falso, la traccia lasciata dal delinquente, va “inseguita” con un monitoraggio continuo dell’attività criminale.

Nei giorni scorsi D3Lab ha rilevato alcuni tentativi di frode ai danni degli utenti di Deutsche Bank attuati da uno dei più attivi gruppi criminali operanti in Italia.

L’analisi della struttura di rete messa in piedi dai phisher ha consentito di determinare data/ora di creazione/ultima modifica

della pagina fraudolenta e di visionare i log http del server che ospitava la pagina in questione.

Il confronto dei dati ha consentito di determinare che il criminale aveva operato da un indirizzo ip romeno verificando l’accessibilità della

pagina, accedendovi direttamente e da una mail box di Libero, presumibilmente testando le funzionalità di un messaggio di prova vettore dell’attacco.

Pur essendo una dato di fatto che le attività siano probabilmente state svolte oltre i confini nazionali, rimane la possibilità che attraverso la mail box di Libero il phisher abbia fatto transitare comunicazione verso altri soggetti dell’organizzazione, identificabili attraverso l’idonea attività investigativa.

Le attività dei criminali volti alle frodi on-line si sono fortemente rivolte all’acquisizione dei dati della carte di credito, tuttavia fare poi il cash-out, procedere all’incasso, può non essere propriamente semplice, o comunque può portare ad un lavoro non da poco per accedere a somme tutto sommato più contenute rispetto ai risultati ottenibili con le frodi sull’home banking.

Uno dei gruppi criminali più attivi in panorama italiano volge nuovamente la propria attenzione agli istituti che permettono di operare via internet facendo uso della password dispositiva.

A cadere nel mirino dei phisher sono gli utenti italiani di Deutsche Bank. In base ai rilievi D3Lab, dalla seconda metà del 2009 ad oggi l’attacco a tale istituto rappresenta una novità.
La mail di phishing, inviata da indirizzo IP britannico, presenta le seguenti caratteristiche:

oggetto: Conto bloccato!

mittente apparente: “Deutsche Bank S.p.A”<[email protected]> 

Corpo messaggio (html):

Gentile Titolare, ——————————————————————————————— Abbiamo rilevato attivita irregolari sul tuo Deutsche Credit Card Internet Banking sul conto *******. Per la tua protezione, e necessario verificare questa attivita prima di poter continuare a utilizzare il vostro conto. Si prega di scaricare il documento allegato alla presente-mail a rivedere le attivita del proprio account. Se scegli di ignorare la nostra richiesta, ci lasciano scelta di sospendere temporaneamente il tuo account. ———————————————————————————————— Ti ricordiamo che tramite il sito CartaSi puoi mantenerti sempre aggiornato sulle opportunita’ e sui vantaggi che Deutsche Bank ti riserva. Deutsche Credit Card – Gruppo Deutsche Bank Partita IVA: 01340740156

come si può osservare nell’immagine sottostante il messaggio di posta fraudolento non contiene alcun link, ma

veicola la minaccia attraverso l’allegato Documento.html che aperto in locale presenta nel browser una pagina riproducente

grafica e loghi di Deutsche Bank ed il form in cui vengono richiesti i dati di accesso all’home banking. Questi vengono poi inviati ad un 

server Windows localizzato in Thailandia, usato dai cyber criminali sin dall’ottobre 2012 per colpire Banca Popolare dell’Emilia Romagna e Banca Mediolanum.

L’istituto è stato notiziato.

A meno di un anno dalla piena operatività D3Lab è riuscita a portare l’attività formativa presso i clienti!

Il network di professionisti dall’elevate e specifiche competenze di cui D3Lab si è riuscita nel tempo a contornare permette all’azienda di presentare ai clienti enterprise attività formative di alto livello, rispondenti alle richieste di knowledge e know-how portate da personale da anni operante nei settori sicurezza, sviluppo, gestione sistemi.

Si è da poco concluso il primo corso di “Analisi siti web compromessi” che ha visto un eclettico Mario Pascucci mantenere alta l’attenzione dei partecipanti, per tre giorni consecutivi, analizzando le problematiche di sicurezza dei siti web e le modalità di individuazione ed analisi delle evidence a seguito di una violazione.

La preparazione del docente ha consentito di coinvolgere il personale deputato allo sviluppo web con l’analisi della metodologia OWASP, dei più frequenti errori nella programmazione web e delle problematiche da essi derivanti.