pagina web fraudolenta

E sicuramente singolare l’attacco di phishing rilevato il giorno 6 Marzo 2013 ai danni del Comune di Torino.
Le informazioni in possesso di D3Lab sono purtroppo molto scarne. Lo screenshot generato dai sistemi automatici ha consentito di congelare unicamente la resa grafica ed il testo della pagina fraudolenta. Un messaggio scritto in italiano sgrammaticato, paventando problematiche relativa a problemi causati da un virus alla banca dati dell’ente, richiedeva l’inserimento delle credenziali di accesso alla web mail del in uso al personale del Comune.

pagina web fraudolenta

 

Nell’ipotesi si trattasse di un phishing mirato, testa di ponte ad un possibile attacco informatico al comune, ci si aspetterebbe quanto meno un messaggio di posta ed una pagina web scritta in ottimo italiano. Proprio la sua assenza lascerebbe ipotizzare l’estraneità di movimenti/organizzazioni nazionali. 

La pagina web fraudolenta era in hosting in un server statunitense.

Appare doveroso domandarsi se vi sia qualche collegamento con un altra pagina di phishing realizzata attraverso Google Docs, individuata il 19 Febbraio 2013, sempre facente riferimento a Torino, graficamente più curata, per quanto dall’aspetto insolito.

pagina web fraudolenta

 

Anche in questo caso non è, sfortunatamente, stato possibile acquisire maggiori informazioni.

Update 08/03/2013 10:59

Alcune considerazioni relative all’attacco in questione.

mail fraudolenta

I giornalieri controlli sul phishing nazionale ed internazionale hanno permesso di individuare un tentativo di frode ai danni degli albergatori clienti del servizio di prenotazione on-line Venere.com.

La mail di phishing odierna presenta le seguenti caratteristiche:

oggetto: L’account del servizio deve essere aggiornato .

mittente apparente: “Assistenza Utenti Venere.com”<[email protected]>;

corpo messaggio:

GENTILE CLIENTE, Venere Net S.r.l. L’account del servizio Venere Net S.r.l.deve essere aggiornato **Scarica allegato** Accedi al tuo conto e verifica le modifiche . Importante per la sua sicurezza Se apri con internet explorer accetta i cookie!!! Venere Net S.r.l. Via della Camilluccia, 693 – 00135 Roma-Italia (con socio unico) soggetta a direzione e coordinamento di Hotels.com LP – Iscritta al R.d.I. di Roma ( Italia) – P.I. e C.F. 05649781001 Licenza Agenzia Viaggi No.305 del 05 Aprile 2001 (Cyber Travel) – Capitale sociale: Euro 1.120.600,00 (i.v.)

mail fraudolenta

 

L’allegato aggiornamento.html, evidenziato nell’immagine soprastante, si presenta come un clone della pagina di login attraverso la quale gli albergatori sottoscrittori del servizio di Venere/Expedia accedono al proprio account.

 

falsa pagina web

 

D3Lab non è a conoscenza delle modalità di funzionamento del servizio di Venere/Expidia, tuttavia conoscendo le modalità operative dei criminali appare ipotizzabile che questi, una volta effettuato l’illecito accesso all’account di cui carpiscono le credenziali, possano individuare tra le informazioni dell’utente frodato i dati della carta di credito su cui il servizio gli accredita la percentuale ad egli dovuta per le prenotazioni ricevute on-line da Venere.com.

Le credenziali inserite dalla vittima vengono spedite ad una pagina php in hosting in un dominio gratuito creato sul provider ceco wz.cz, già usato in passato in attività di pshihing, e l’utente viene indirizzato alle pagine del sito legittimno della società.

Dal punto di vista investigativo è interessante notare, dagli headers del messaggio di posta, che lo stesso è stato inviato da un indirizzo ip di Fastweb.

Venere.com è stata notiziata.

Ulteriori informazioni su Edgar’s Internet Tools.

data/ora creazione/ultima modifica file fraudolenti

Troppo spesso chi subisce l’azione dei cyber criminali, nella convinzione che questi abbiano ineguagliabili capacità tali da consentir loro di muoversi invisibili nella rete, tende a ritenere inutile l’azione investigativa/repressiva che potrebbe seguire una eventuale denuncia.

In realtà così non è, ma spesso la possibilità di individuare il passo falso, la traccia lasciata dal delinquente, va “inseguita” con un monitoraggio continuo dell’attività criminale.

Nei giorni scorsi D3Lab ha rilevato alcuni tentativi di frode ai danni degli utenti di Deutsche Bank attuati da uno dei più attivi gruppi criminali operanti in Italia.

L’analisi della struttura di rete messa in piedi dai phisher ha consentito di determinare data/ora di creazione/ultima modifica

 

data/ora creazione/ultima modifica file fraudolenti

della pagina fraudolenta e di visionare i log http del server che ospitava la pagina in questione.

Il confronto dei dati ha consentito di determinare che il criminale aveva operato da un indirizzo ip romeno verificando l’accessibilità della

estratto log http

pagina, accedendovi direttamente e da una mail box di Libero, presumibilmente testando le funzionalità di un messaggio di prova vettore dell’attacco.

Pur essendo una dato di fatto che le attività siano probabilmente state svolte oltre i confini nazionali, rimane la possibilità che attraverso la mail box di Libero il phisher abbia fatto transitare comunicazione verso altri soggetti dell’organizzazione, identificabili attraverso l’idonea attività investigativa.

pagina fraudolenta

Da diverso tempo il trio comico di Aldo, Giovanni e Giacomo è diventato co-artefice dei più simpatici spot pubblicitari del gestore di telefonia Wind.
La più recente evoluzione della campagna pubblicitaria vede il trio comico impegnato nella parodia del mondo dell’arte moderna.
La novità è naturalmente divenuta parte integrante delle pagine web di wind.it, ma non è sfuggita ai criminali che hanno aggiornato i 

pagina fraudolenta

 

propri template grafici, clonando la home page del dominio di Wind, riproponendola quindi da un server web tedesco alle vittime, in modo diretto o attraverso un dominio registrato su No-ip.

Il messaggio di posta fraudolento, attraverso cui il tentativo di frode è veicolato, promette 20,00 Euro omaggio a seguito di una ricarica 

mail fraudolenta

di pari valore da effettuarsi naturalmente con carta di credito.

Relativamente a questo attacco è interessante notare due particolari:

  • il coinvolgimento di un dominio italiano, presumibilmente violato, attraverso il cui pannello di controllo dovrebbe essere stato creato il dominio di livello inferiore wind.xxxx.it, come si può osservare nel mittente della falsa mail;
  • l’invio del messaggio di posta da un host tedesco con assegnato un indirizzo ipv6 facente capo, apparentemente, ad un soggetto italiano.

ipv6 mittente mail fraudolenta

 

mail fraudolenta

Le attività dei criminali volti alle frodi on-line si sono fortemente rivolte all’acquisizione dei dati della carte di credito, tuttavia fare poi il cash-out, procedere all’incasso, può non essere propriamente semplice, o comunque può portare ad un lavoro non da poco per accedere a somme tutto sommato più contenute rispetto ai risultati ottenibili con le frodi sull’home banking.

Uno dei gruppi criminali più attivi in panorama italiano volge nuovamente la propria attenzione agli istituti che permettono di operare via internet facendo uso della password dispositiva.

A cadere nel mirino dei phisher sono gli utenti italiani di Deutsche Bank. In base ai rilievi D3Lab, dalla seconda metà del 2009 ad oggi l’attacco a tale istituto rappresenta una novità.
La mail di phishing, inviata da indirizzo IP britannico, presenta le seguenti caratteristiche:

 

oggetto: Conto bloccato!

mittente apparente: “Deutsche Bank S.p.A”<[email protected]

Corpo messaggio (html):

Gentile Titolare, ——————————————————————————————— Abbiamo rilevato attivita irregolari sul tuo Deutsche Credit Card Internet Banking sul conto *******. Per la tua protezione, e necessario verificare questa attivita prima di poter continuare a utilizzare il vostro conto. Si prega di scaricare il documento allegato alla presente-mail a rivedere le attivita del proprio account. Se scegli di ignorare la nostra richiesta, ci lasciano scelta di sospendere temporaneamente il tuo account. ———————————————————————————————— Ti ricordiamo che tramite il sito CartaSi puoi mantenerti sempre aggiornato sulle opportunita’ e sui vantaggi che Deutsche Bank ti riserva. Deutsche Credit Card – Gruppo Deutsche Bank Partita IVA: 01340740156

come si può osservare nell’immagine sottostante il messaggio di posta fraudolento non contiene alcun link, ma

mail fraudolenta

veicola la minaccia attraverso l’allegato Documento.html che aperto in locale presenta nel browser una pagina riproducente

allegato fraudolento

grafica e loghi di Deutsche Bank ed il form in cui vengono richiesti i dati di accesso all’home banking. Questi vengono poi inviati ad un 

server usato a fini fraudolenti

server Windows localizzato in Thailandia, usato dai cyber criminali sin dall’ottobre 2012 per colpire Banca Popolare dell’Emilia Romagna e Banca Mediolanum.

L’istituto è stato notiziato.

falsa pagina Agip/Eni

I cyber criminali tornano ad approfittare del momento di crisi per ingannare gli utenti del web con una falsa offerta di carburante con prezzo bloccato ad un Euro al litro da parte di Agip/Eni.

falsa pagina Agip/Eni

Il tentativo di frode risalente a martedì 5 Febbraio 2013 si rivela particolarmente insidioso per l’utilizzo da parte dei criminali di un certificato SSL, come evidenziato dallo screenshot soprastante.

 

L’attacco viene veicolato attraverso uno messaggio di posta elettronica avente per oggetto “Note” e mittente apparente l’indirizzo [email protected], che presenta quale unico testo il link all’url http://www.agipshopping.com/.

Il dominio agipshoppong.com risulta registrato presso NO-IP

Domain Name: AGIPSHOPPING.COM
Registrar: VITALWERKS INTERNET SOLUTIONS LLC DBA NO-IP
Whois Server: whois.no-ip.com
Referral URL: http://www.no-ip.com
Name Server: NS1.NO-IP.COM
Name Server: NS2.NO-IP.COM
Name Server: NS3.NO-IP.COM
Name Server: NS4.NO-IP.COM
Name Server: NS5.NO-IP.COM
Status: clientTransferProhibited
Updated Date: 03-feb-2013
Creation Date: 03-feb-2013
Expiration Date: 03-feb-2014

a nome di una italiano

Domain Name: AGIPSHOPPING.COM
Created On: 03-Feb-2013 08:00:00 UTC
Last Updated On: 03-Feb-2013 19:19:01 UTC
Expiration Date: 03-Feb-2014 19:19:11 UTC
Sponsoring Registrar: Vitalwerks Internet Solutions, LLC / No-IP.com
Registrant Name: martina, XXXXXXXX
Registrant Organization: 
Registrant Street1: Via XXXXXXXXXXXXX 20
Registrant Street2: 
Registrant City: napoli
Registrant State/Province: Not Applicable
Registrant Postal Code: 801374
Registrant Country: IT
Registrant Phone: +380.XXXXXXXXX
Registrant FAX: 
Registrant Email: [email protected]

presumibilmente inconsapevole o inesistente, ed hostato (al momento attuale 00:42 08/02/2013) su Amazon

 

NetRange:       174.129.0.0 – 174.129.255.255
CIDR:           174.129.0.0/16
OriginAS:       
NetName:        AMAZON-EC2-5
NetHandle:      NET-174-129-0-0-1
Parent:         NET-174-0-0-0-0

 

L’url svolge semplice funzione di redirect dirottando il visitatore sulle pagine web fraudolente riproducenti logo e grafica di Agi/Eni all’url:

https://www.eni-shopping.com/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php

In questo caso il dominio, in hosting su HostMonster, risulta registrato su FastDomain

Domain Name: ENI-SHOPPING.COM
Registrar: FASTDOMAIN, INC.
Whois Server: whois.fastdomain.com
Referral URL: http://www.fastdomain.com
Name Server: NS1.HOSTMONSTER.COM
Name Server: NS2.HOSTMONSTER.COM
Status: clientTransferProhibited
Updated Date: 19-jan-2013
Creation Date: 19-jan-2013
Expiration Date: 19-jan-2014

ed il registrante essere protetto dal servizio di privacy.

La novità di questo caso di phishing non è rappresentata tanto dall’utilizzo di un sito disponibile anche via https, cosa già verificatasi in occasione della violazione di siti di e-commerce che prevedevano tali funzionalità sfruttate dal phisher nel link ipertestuale, ma dal fatto che il phisher ha comprato il certificato:

certificato valido

 

dettagli certificato SSL

Sebbene i dettagli del certificato, rilasciato nella seconda metà del Gennaio scorso, non riportino informazioni sul titolare, la capacità di inganno di questa frode è elevatissima in quanto ben pochi utenti analizzano il certificato tanto più che il nome dominio sembra plausibile e che essendo coerente con il certificato non provoca l’apparizione di alcun warning.

I realizzatori sono presumibilmente i medesimi degli attacchi rilevati nei mesi di Novembre e Dicembre 2012 in quanto si individuano i medesimi path nell’organizzazione di file e directory, tali da consentire il recupero, volendo, delle credenziali frodate.

La home page di eni-shopping.com è tratta da tutt’altro dominio/sito presumibilmente al solo scopo di trarre in inganno chi svolgesse un controllo superficiale.

Corso

A meno di un anno dalla piena operatività D3Lab è riuscita a portare l’attività formativa presso i clienti!

Corso

Il network di professionisti dall’elevate e specifiche competenze di cui D3Lab si è riuscita nel tempo a contornare permette all’azienda di presentare ai clienti enterprise attività formative di alto livello, rispondenti alle richieste di knowledge e know-how portate da personale da anni operante nei settori sicurezza, sviluppo, gestione sistemi.

Si è da poco concluso il primo corso di “Analisi siti web compromessi” che ha visto un eclettico Mario Pascucci mantenere alta l’attenzione dei partecipanti, per tre giorni consecutivi, analizzando le problematiche di sicurezza dei siti web e le modalità di individuazione ed analisi delle evidence a seguito di una violazione.

La preparazione del docente ha consentito di coinvolgere il personale deputato allo sviluppo web con l’analisi della metodologia OWASP, dei più frequenti errori nella programmazione web e delle problematiche da essi derivanti.

 

falso documento agenzia entrate

Nella giornata odierna si è rilevato il tentativo di frode volto a catturare i dati degli utenti attraverso la semplice risposta alla mail fraudolenta.

I messaggi di posta elettronica individuati riportano il medesimo oggetto “Italia non residenti modulo fiscale”  ed il medesimo testo

Attenzione: Caro non residente gentilmente di compilare questo modulo in allegato e tornare alla e-mail qui sotto per il nostro aggiornare ufficio. Cordiali saluti Agenzia delle Entrate Agenzia Consulente

il cui italiano assolutamente sgrammaticato si spera non tragga in inganno alcuno.

In allegato è presente un archivio zip denominato Attachments_2013124.zip contenente due file jpg:

 

Document1.jpg

falso documento agenzia entrate

dovrebbe essere all’apparenza la comunicazione da parte dell’Agenzia delle Entrate al destinatario della mail. Il testo della comunicazione oltre a non rappresentare alcuna richiesta al destinatario, appare non avere coerenza logica, in particolare vi è una totale discrepanza tra i paragrafi con interlinea di 1,5 righe e quello successivo.
Ricercandone il testo in rete si identifica una sola pagina “http://www.fiscooggi.it/analisi-e-commenti/articolo/ritenute-non-residenti-redditi-d-impresa-e-di-lavoro-autonomo-2” da cui i truffatori potrebbero aver tratto i paragrafi con interlinea maggiore

testo copiato dai truffatori

facendo apparentemente un semplice copia/incolla.

L’ultimo paragrafo sembrerebbe invece tratto direttamente dal sito dell’Agenzia delle Entrate

testo ripreso dai criminali

 

Document2.jpg

falso modulo

la seconda immagine riproduce invece un modulo per il rimborso di cui si individuano versioni similari in rete e potrebbe per tanto essere copia di uno di essi.
In esso oltre ai dati anagrafici, di residenza ed al codice fiscale vengono richieste le coordinate bancarie del ricevente.

I criminali richiedono l’invio del modulo compilato in risposta al messaggio con cui è giunto. Facendo riferimento alle due mail fraudolente rilevate si evidenzia come la prima 

Received: from 188.xxx.xxx.250 ([188.xxx.xxx.250])         (SquirrelMail authenticated user [email protected])         by 166.78.57.243 with HTTP;         Thu, 31 Jan 2013 19:11:37 -0600 From: [email protected] To: [email protected] Return-Path: <[email protected]>

possa rappresentare un errore di composizione ed invio (da indirizzo ip britannico) in quanto pur presentando l’indirizzo ingannevole [email protected] lo trova inserito nel campo “To:” presentando invece quale indirizzo per il percorso di risposta quello dell’utente usato per accreditarsi presso il server di posta, come evidenziato dagli headers.

Sembrerebbe che dopo circa una mezz’ora i criminali, accortisi del disguido abbiano provveduto ad un secondo invio, da indirizzo ip nigeriano, questa volta inserendo l’indirizzo destinato a raccogliere le risposte nel modo corretto

Received: from [197.yyy.yyy.2] (port=60034 helo=User) by linuxpro with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.80) (envelope-from <[email protected]>) id 1U15gp-0005OU-Tv; Thu, 31 Jan 2013 19:46:38 -0600 Reply-To: <[email protected]>

Ad un primo superficiale esame i dettagli linguistici lascerebbero ipotizzare che il tentativo di frode possa essere opera di stranieri.
L’utilizzo di immagini, presumibilmente risultati di scansione digitale, è giustificabile con il tentativo da parte dei truffatori di non diffondere indizi nelle proprietà di documenti editati con suite d’ufficio?

mail fraudolenta

Con il nuovo anno è ripresa la diffusione di malware attraverso false comunicazioni di posta elettronica da DHL, noto spedizioniere con diffusione globale. 

Dalla giornata di ieri, 22 Gennaio, sono già giunte 4 mail, tutte recanti la seguente comunicazione:

Caro cliente,

Il corriere della nostra societa non e riuscito a consegnare il pacco a Suo indirizzo.
Motivo: Lerrore nellindirizzo della consegna.
Lei potra personalmente ricevere il pacco presso Suo ufficio postale.
Lei ha da stampare questo documento per poter ricevere il pacco nellufficio postale.
 

Alla presente lettera e allegato il documento postale.


La ringrazio.
DHL Italiano. 

Gli oggetti con cui le mail si presentano sono due

  1. “Vogliate ricevere Suo pacco.”
  2. “Un errore nel recapito della consegna.”

mentre i 4 differenti indirizzi email mittenti apparenti riportano tutti il dominio dhl.it.

mail fraudolenta

i link nascosti dal codice html  portano a due diversi url, entrambi ancora attivi, ieri su dominio saudita, oggi su dominio panamense.

Visitando il link con user agent di Internet Explorer si ottiene il download di un archivio zip denominato DHL_IT_ID0976442_234.zip contenente un file eseguibile con nome DHL_IT_ID652372_234.exe, che sottoposto a VirusTotal risulta essere riconosciuto quale malware solo da undici software antivirus dei 46 in uso al portale, vedasi report.

Per l’invio dei messaggi di posta elettronica sono stati utilizzati quattro diversi host, a dimostrazione che gli aggressori non hanno problemi di disponibilità.

La particolarità dei messaggi è che se visualizzati in solo testo, non con il codice html originale, mostrano parti di brani letterari che rimangono celati alla visualizzazione in html.

Le mail di attacco ricevute lo scorso anno, sempre utilizzando il brand DHL e rivolte ad utenti italiani, portavano il malware direttamente in allegato.

Si spera che l’italiano sgrammaticato dei messaggi sia notato dalla gran parte di coloro che hanno ricevuto i messaggi.

Come

pagina clone Carrefour Banque

Dal secondo semestre 2012 gli utenti di Internet francesi sono stati prepotentemente presi di mira dalla cyber criminalità. Nell’arco di pochi mesi i phisher sembra abbiano realizzato che la Francia rappresenti un terreno ancora fertile in cui colpire con frodi sempre nuove: attacchi agli utilizzatori delle carte di credito, dei servizi finanziari delle poste francesi, delle banche.
Da un certo punto di vista si può considerare quello degli internettiani francesi come un campo di battaglia di test: contro gli utenti delle rete di Oltralpe sono stati diretti i primi attacchi miranti a colpire gli utenti di società di fornitura energetica (EDF), così come del gruppo BNP Paribas. Entrambe gli attacchi sono successivamente stati replicati in Italia con Agip/Eni d il Gruppo Hera per quanto riguarda le società legate all’energia e con lo stesso Gruppo BNP Paribas.

E’ di oggi il tentativo di frode a danno degli utenti di Carrefour Banque, la società del Gruppo Carrefour SpA deputata all’erogazione di servizi finanziari ed alla gestione delle carte di credito emesse dak gruppo.

 Come osservabile dagli screenshot sottostanti le pagine web fraudolente realizzate per frodare i clienti francesi di Carrefour mirano a raccogliere i dati anagrafici ed i codici delle carte di credito.

pagina clone Carrefour Banque

pagina clone Carrefour Banque

pagina clone Carrefour Banque

pagina clone Carrefour Banque

Le pagine fraudolente erano inserite nello spazio web del dominio carref0ur-2013.com creato ad hoc su Yahoo nei primi giorni dell’anno:

Domain Name………. carref0ur-2013.com   Creation Date…….. 2013-01-04   Registration Date…. 2013-01-04   Expiry Date………. 2014-01-04   Tracking Number…… 1770723461_DOMAIN_COM-VRSN   Organisation Name…. Visconti JOCELYNE   Organisation Address. 136 Allee du Saint Eynard   Organisation Address.    Organisation Address.    Organisation Address. SAINT NAZAIRE LES EYMES   Organisation Address. 38330   Organisation Address. FR   Organisation Address. FRANCE

quasi sicuramente a nome di persona inesistente o coinvolta a sua insaputa nella frode.

Il recupero dei log http in modo del tutto lecito ha permesso di verificare l’effettiva presenza di un elevato numero di visitatori francesi

provenienza visitatori

che hanno raggiunto le pagine clone prevalentemente dalle mail box Microsoft ed in misura minore da quelle di Orange France.

provenienza visitatori

L’elevato numero di visite da ip statunitensi è da imputarsi all’attività di società di sicurezza, enti di studio e bot.

Questa nuovo frode sembra confermare le previsioni espresse nell’esame di dati raccolti nell’arco dello scorso anno, con:

  • un calo delle frodi volte alla conquista dei codici di home banking a favore di quelle finalizzate ad utilizzi fraudolenti delle carte di credito;
  • l’interesse dei criminali per quegli enti non specificamente individuabili quali banche, non in senso classico almeno.

In ambito internazionale, sempre dalla seconda metà del 2012, si è anche assistito alle medesima tipologia di frode nei confronti degli utenti delle carte di credito emesse dalle finanziarie del gruppo Tesco, collegato all’omonima catena di supermercati ampiamente diffusi nel mondo anglosassone.

Il 2013 riserverà anche ai clienti italiani di Carrefour Banca questa minaccia?