Il Banco Santander è un gruppo bancario di origine spagnola operante principalmente in Spagna ed in Sud America. Tale gruppo risulta tuttavia operante anche in altri paesi europei come Germania ed Italia dove è presente come Santander Consumer Bank (per essere precisi in Germania come Santander Consumer Bank AG).
Durante la notte, svolgendo l’analisi di un caso di phishing a danno di clienti D3Lab abbiamo individuato sul medesimo host, realizzati con le medesime modalità, altri due siti clone relativi a Banca Popolare di Spoleto (Phishing ai danni della Banca Popolare di Spoleto) ed a Santander Consumer Bank, ramo italiano del gruppo spagnolo.
si tratta in entrambi i casi di enti che in base ai rilievi D3Lab non erano ancora stati aggrediti dai criminali, almeno non in tempi recenti.
La modalità con cui l’attacco è strutturato è piuttosto insidiosa in quanto consente ai criminali, sfruttando il tag meta del codice html, di visualizzare nella barra degli indirizzi del browser un url
posticcio, che può essere fatto coincidere con l’effettivo url del portale di internet banking dell’istituto al fine di potenziare l’inganno ai danno delle potenziali vittime che potrebbero non far caso alla dicitura data:text/html: che precede l’indicazione del corretto protocollo https o http nel caso di uso di frame da parte degli istituti.
Lo screenshot di apertura, che evidenzia con colori questa particolarità del testo visibile nella barra degli indirizzi, mostra come i criminali siano interessati ai dati di accesso all’account di internet banking: nella prima pagina fraudolenta infatti richiedono il codice utente, lo user name, ed i caratteri 1, 2, 5, 7 e 10 della password. Inviati tali dati a pagine php residenti in altro host compromesso gli uetenti visualizzano una seconda pagina fraudolenta in cui oltre al
codice utente (già richiestogli) devo inserire i caratteri 3, 4, 6,8 e 9 della password, asteriscati nella prima richiesta, fornendo così ai criminali, con questo secondo inserimento di dati, tutti e 10 i caratteri della password.
Non ci è dato sapere se tali informazioni siano sufficienti ai criminali per disporre operazioni, ma anche non lo fossero il solo fatto che abbiano investito tempo e risorse nella realizzazione del kit lascerebbe ipotizzare che grazie alle informazioni che potrebbero carpire dall’account utente sia per loro possibile avviare per passi successivi ulteriori azioni fraudolente, magari con contatti telefonici nei confronti delle vittime.
Si raccomanda agli utenti la massima attenzione.