Con l’approssimarsi delle vacanze era ipotizzabile il ritorno delle frodi inerenti la possibilità di risparmiare sugli acquisti di tutti i giorni e su quelli natalizi.
La nuova ondata di frodi volte a colpire i clienti della catena Carrefour viaggia sui dispositivi di telefonia mobile (cellulari, smartphone e tablet), attraverso sms provenienti dal numero di telefono 3270323258 (numero Wind) che con comunicazioni di questo tipo
“Carrefour: Vai sul sito www.carrefourspa.net e richiedi il buono omaggio di 300 euro FONDO MINISTERO SVILUPPO ECONOMICO“
forniscono al ricevente i link alle pagine fraudolente riproducenti la grafica già nota, aggiornata con l’inserimento di dell’elemento grafico del carrello con pacco regalo, da tempo presente nella prima pagina, anche nella seconda pagina.
(prima pagina fraudolenta)
(seconda pagina fraudolenta)
Nelle successiva pagine vengono richiesti i dati della carta di credito
e simulato il controllo del secure code Visa/Mastercard.
Sino ad ora sono stati individuati link a due siti/domini differenti
www.supercarrefour.com (attivo dal 5 Dicembre 2012)
www.carrefourspa.net
i quali contengono la sola home page costituita da un frame traente la sorgente rispettivamente da due diversi siti web, entrambi di recente creazione. Per tutti e due gli attacchi i criminali hanno utilizzato i medesimo fornitori di servizio
La metodica attuata per veicolare l’attacco è interessante perché pone i criminali in condizione di evadere, per ora, i tradizionali canali di monitoraggio per un certo lasso di tempo. Inoltre sarebbe interessante comprendere come i criminali abbiano composto le proprie liste di numeri di telefono a cui inviare i messaggi di testo fraudolenti. Se siano il risultato di ricerche svolte in rete o se possa trattarsi di dati “fuoriusciti” e correlati a reali utenti/clienti di servizi ed offerte Carrefour. In tale ipotesi i criminali starebbero portando attacchi ad elevato potenziale andando a colpire utenti reali dei servizi della società, già da tempo abituati a ricevere via sms informazioni ed offerte.
Update domenica 15 Dicembre 2013:
ulteriori accertamenti hanno portato all’individuazione di un terzo sito/dominio, www.carrefourbuono.org, attivo dal 7 Dicembre, anch’esso strutturato su un unica pagina con frame traente la sua sorgente da www.cadoubrochurpremium.com.
La sorgente del frame inserito in www.carrefourspa.net è invece stata modificata andando a puntare a www.impressioncat.com, questo sebbene le pagine clone posizionate in bussinesscountrymega.com, iniziale sorgente, siano ancora attive.
Ulteriori dettagli possono essere tratti dal post “Phishing Carrefour via SMS. Una interessante segnalazione da parte di un lettore del blog (13 dicembre)” e dai successivi su Edgar’s Internet Tools.
Ulteriori informazioni: