Campagna di Phishing ai danni di Iliad
Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di diverse campagne di phishing ai danni di Iliad.
Iliad Italia è un operatore di telecomunicazioni Italiano e parte dell’omonimo gruppo francese Iliad o più conosciuto come Free Mobile, attualmente con oltre 10 milioni di clienti in Italia.
L’importante campagna di phishing è stata diffusa mediante 20 domini creati Ad Hoc che eseguivano un redirect dell’utente verso due siti web probabilmente compromessi.
L’intento dei criminali è quello di carpire i dati delle Carte di Credito o di Debito dei clienti falsificando la consueta pagina di ricaria della propria numerazione telefonica.
Analizzando il kit di phishing è stato possibile identificare il metodo utilizzato dai criminali per raccogliere le informazioni sensibili carpite, i dati immessi dai clienti vengono infatti inviati ai phisher mediante Telegram. Di seguito un estratto del file JSON di configurazione del kit di phishing lasciato involontariamente esposto:
Analizzando i Token Telegram sfruttati dai criminali mediante lo strumento OSINT tosint è possibile comprendere che i dati vengono inviati su un gruppo creato Ad Hoc con al momento 5 utenti attivi:
Bot First Name: iliadmybot
Bot Username: iliadmybot
Bot User ID: 6581XXXXXX
Bot Can Read Group Messages: False
Bot In The Chat Is An: member
Chat Title: Mister Отстук Италия
Chat Type: group
Chat ID: -40380XXXXX
Chat Username: None
Chat Invite Link: None
Number of users in the chat: 5
Administrators in the chat:
{'id': 8300XXXXX, 'is_bot': False, 'last_name': 'X', 'first_name': 'Mister', 'language_code': 'ru', 'username': 'MucXXX'}
Il tag Chat Title “Mister Отстук Италия” ci permette di ipotizzare l’origine Russa di questi criminali, a confermare tale ipotesi rileviamo inoltre che l’amministratore del gruppo “Mister X” utilizza Telegram in lingua Russa.
Invitiamo gli utenti a prestare attenzione e a non divulgare le proprie informazioni sensibili (username, password, e-mail, etc).
IoC
- 2iliad[.]top
- 3iliad[.]top
- 1iliad[.]top
- ricariliad[.]top
- iliadric[.]top
- ricarliad[.]top
- iliadriac[.]top
- iliadtops[.]top
- iliadtopup[.]top
- iliadricarica[.]top
- iliadit[.]top
- iliadup[.]top
- iliad-it[.]top
- iliadtop[.]top
- ricoiliad[.]top
- itiliad[.]top
- it-iliad[.]top
- iliadsup[.]top
- ricaricaa[.]top
- iliad-up[.]top