Campagna di Phishing ai danni di Trenitalia

,

Il Threat Intelligence Team di D3Lab, attraverso le attività di monitoraggio svolte nell’ambito del servizio di Brand Monitor, ha rilevato diverse campagne di phishing ai danni di Trenitalia.

Trenitalia S.p.A, è un’azienda pubblica partecipata dal 100% da Ferrovie dello Stato Italiane ed è la principale società italiana per la gestione del trasporto ferroviario passeggeri.

La campagna di phishing, rilevata da Giovedì 7 Novembre e ad oggi ancora attiva è veicolata tramite la creazione di diversi domini Ad Hoc che fungono da redirect verso un’unica destinazione. Partendo da uno di questi, tren-italia[.]com, si nota subito come il suo intento sembra essere quello della vendita dei biglietti ferroviari.

Ma la cosa più soprendente è come l’url di destinazione, trenitalia[.]pro, riprenda perfettamente la grafica del portale lecito di Trenitalia, che ricordiamo essere trenitalia.it

Provando ad inserire i dati di un ipotetico viaggio da Milano a Roma

Come se stessimo davvero per effettuare un prenotazione, ci appaiono le varie opzioni , tariffe, offerte, etc.

Proseguendo, ci viene richiesto di inserire il Nome, Cognome, Email, e Contatto Telefonico ed eventualmente, nel caso in cui il nome del passeggero sia diverso da quello dell’acquirente, il proprio codice Cartafreccia.

Siamo arrivati al momento di inserire i dati della “nostra” carta di credito per autorizzare il pagamento. Sin da subito notiamo che la pagina che usualmente è in lingua italiana,si presenta con le label dei campi da compilare in lingua inglese.

Ma “sfortunatamente” la nostra carta non è supportata e quindi ci viene richiesto di inserire un’altra tipologia di carta. Da questo momento, cliccando su Back to shop verremo reindirizzati automaticamente sul sito legittimo di trenitalia e il clone non sarà più raggiungibile.

La cosa interessante sta nell’analizzare cosa succede quando l’utente, una volta inseriti i dati della propria carta, clicca sul tasto Continue per procedere all’acquisto del biglietto.

Come si può vedere, i dati vengono inviati in:

https://bknd[.]trenitalia[.]pro/backend-book/v1/bot_user/new_log

Che come output ritorna : “Данные успешно сохранены в MongoDB”

Ovvero : “I dati sono stati salvati con successo su MongoDB”

Tale output ci permette di ipotizzare l’origine Russa del team criminale in questione.

Come di consueto, invitiamo gli utenti a prestare attenzione e a non divulgare le proprie informazioni sensibili ( username, password, e-mail, dati di carte di credito, etc).

IoC

  • tren-italia[.]com
  • trenitalia-tren[.]com
  • treni-italia[.]com
  • trenitalia[.]com/Channels.Website.WEB
/1 Commento/da
Potrebbero interessarti
Libero Down: Phishing per riattivare l’account
Phishing ai danni di Eni Gas e Luce
Phishing ai danni di Casa.it
Booking.com prima pagina clonePhishing ai danni di Booking.com
Phishing ai danni di Sky Italia
Phishing tramite falso Social Care ai danni degli utenti Postepay
Phishing ai danni di Virgilio eMail con dominio Ad-hoc
Phishing Gruppo Banca Popolare di Bari
1 commento

Trackbacks & Pingbacks

  1. Nuova Campagna di Phishing ai danni di Trenitalia – D3Lab ha detto:
    22 Novembre 2024 alle 11:01

    […] in passato, abbiamo affrontato un caso di phishing mirato ai danni di Trenitalia S.p.A. In quell’occasione, l’attacco consisteva in un falso portale di prenotazione dei […]

I commenti sono chiusi.