Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

Lo scorso Giovedì 6 Aprile abbiamo rilevato diversi attacchi di Phishing ai danni della Banca Popolare del Lazio, di tale ente in passato non avevamo mai rilevato alcun tentativo di Phishing. In una prima fase l’intento del Phisher era quello di carpire esclusivamente le credenziali di accesso all’Home Banking, effettuando l’inserimento delle credenziali la vittima veniva reindirizzata al sito autentico dell’istituto bancario.

Nel pomeriggio della medesima giornata abbiamo rilevato una successiva modifica al kit, una volta digitate le credenziali la vittima era invitata a digitare il proprio Token OTP. Attaverso le credenziali e il token il criminale può operare sul Home Banking delle vittima eseguendo operazione illecite, quali bonifici, ricariche telefoniche, ecc ecc.

Analizzando il codice HTML ci troviamo di fronte a due pagine molte semplici in quando il Phisher ha sfruttato una tecnica sempre più diffusa per ovviare ad eventuali problemi grafici, anzichè replicare ogni singola immagine, regole css e JavaScript le due pagine sono composte da una grande immagine di sfondo che riproduce il sito ufficiale sovrapposta esclusivamente dai form per raccogliere le informazioni della vittima.

Notiamo attraverso queste due immagine di sfondo un ulteriore conferma dell’avvenuto aggiornamento del kit, l’orario riportato nei due precedenti screnshot  è diverso con un lasso di tempo importante. Infatti l’immagine di sfondo della schermata di login riporta “2017-04-06 08:48” mentre l’immagine di sfondo della schermata del codice OTP riporta “2017-04-06 14:59”. 6h di differenza in cui il Phisher  ha sfruttato le credenziali inserite da una vittima per poi effettuare un accesso illecito al homebanking e poi clonare anche una seconda pagina.

Un ultimo particolare, che forse i lettori più attenti avevano già notato nel secondo screenshot, alla destra del messaggio Bentornato/a appare normalmente il nome del cliente dell’istituto di credito una volta eseguito il login. In questo caso il Phisher ha coperto il nominativo con un rettangolo grafico trascurando il cambio di gradiente, permetendoci quindi di riconoscere un ulteriore alterazione.

Concludiamo l’articolo mostrandovi l’immagine della eMail pervenuta alle vittime ricordandovi di prestare sempre la massima attenzione.

Nella serata di Lunedi 10 Aprile abbiamo rilevato una nuova attività di Phishing ai danni del Gruppo Banca Carige, l’eMail avvisa le vittime che è stata rilevata una attività insolita sulla Carta di Credito della vittima e lo invita ad accedere al Collegamento Sicuro per confermare la propria identità.

Ovviamente non si tratta di alcun Collegamento Sicuro, l’utente infatti viene indirizzato ad un sito internet compromesso in cui gli vengono richieste le credenziali del suo Home Banking permettendo di scegliere una delle banche del Gruppo Carige:

  • Banca Carige Spa
  • Banca Carige Italia Spa
  • Cassa di Risparmio di Savona SpA
  • Cassa di Risparmio di Carrara SpA
  • Banca del Monte di Lucca SpA
  • Banca Cesare Ponti

Selezionato il proprio istituto bancario e digitate le credenziali alla vittima viene mostra l’interfaccia dell’Home Baking fedele all’originale, ad eccezzione di una evidente modifica sulla parte centrale in cui vengono richiesti i dati della carta di credito con la giustificazione che è necessario digitarli per sbloccare l’account.

Il Phisher per ricostruire così fedelmente l’interfaccia grafica deve aver avuto accesso al pannello di Home Banking attraverso le proprie credenziali o ad una precedente operazione di Phishing, analizzando più approfonditamente il kit di Phishing sono emersi ulteriori dettagli.

Inanzitutto il footer riporta “2015 – Gruppo Banca Carige – Banca Carige S.p.A.” la dicitura “2015” evidenza come il clone possa essere creato nel 2015 e non attualmente!

Analizzando inoltre il codice HTML è possibile identificare informazioni offuscate o parzialmente modificate dell’utente sfruttato per accedere al legittimo sito di Home Banking del Gruppo Carige per eseguire la clonazione. Come vi mostriamo nei seguenti tre screenshot è possibile risalire al Nome e Cognome, eMail e Numero di Cellulare.

Nella giorna odierna abbiamo rilevato un nuovo attacco di Phishing ai danni della Banca Popolare dell’Alto Adige Volksbank, l’intento del Phisher è quello di acquisire le credenziali di accesso all’Home Banking e successivamente i 24 Token statici. Sfruttando i token forniti dalla vittima i Phisher potranno effettuare operazioni illecite, come bonifici, ricariche telefoniche e qualsiasi altra operazione concessa all’utente sul suo Home Banking.

Invitiamo pertanto gli utenti alla massima cautela ricordandovi che gli Istitui Bancari non richiedono mai di confermare tutti i Token in vostro possesso.

clone totalerg

Del Recoder Team si è molto parlato nelle ultime settimane, quando a seguito di operazioni congiunte di Polizia di Stato (con la specialità della Polizia Postale) e Guardia di Finanza [ articolo 1, articolo 2, articolo 3] e successivamente dei Carabinieri di Carpi diversi appartenenti all’organizzazione sono caduti nelle reti degli investigatori.

Su questo blog e sul profilo Twitter di D3Lab abbiamo nel frattempo continuato a dare evidenza della della loro attività a danno di ING/Agip Eni, Mediaworld, BNL (tweet1, tweet2), segno evidente che la divisione tecnica e gestionale del team criminale è rimasta operativa.

D3Lab assegna a Recorder Team la paternità di una lunga serie di attacchi, dai telefonici, a Carrefour, Agip/Eni, Total Erg fino ai più recenti attraverso un lungo lavoro di analisi delle metodiche operative, dell’utilizzo dei domini creati ad hoc e della struttura dei cloni.

Monitorando alcuni domini creati dai criminali nella giornata di ieri si è rilevata un’attività schizofrenica da parte del Recorder Team che ha coinvolto due domini:

dominio|data registrazione|nome registrante|indirizzo mail registrante

mediaworldfree.info|2017-03-25|Gianfranco Antonuccio|[email protected]

mediaworldfree.net|2017-03-25|Gianfranco Antonuccio|[email protected]

Alle ore 06.07 UTC  mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone ING Direct

 

acquisizione clone ING

Il clone è rimasto disponibile solo pochi minuti.

Alle 06:44 UTC il dominio effettuava un redirect verso la sottocartella, inesistente, /TelecomItaliaTelefoniaMobile2016/.

Alle 8:47 UTC il dominio effettuava un redirect verso totalergonlinepetrolinet[.]serversicuro.it dove non era disponibile alcuna pagina.

Alle ore 14.35 UTC  mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone CartaSì:

 

Acquisizione clone cartasi

Questa notte nuova svolta!

Alle  00:18 UTC, poco dopo mezzanotte ora di Greenwich mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone TotalErg, clone tutt’ora disponibile.

clone totalerg

acquisizione redirect

 

acquisizione clone Total Erg

 

Il recorder Team torna a colpire Total Erg a distanza di due anni: dall’agosto 2014 alla fine di dicembre i criminali portarono avanti una intensa campagna di phishing veicolato attraverso sms, assurta agli onori della cronaca con servizi televisivi anche in casa RAI. Avevamo scritto due articoli disponibili sempre sul nostro blog: Primo Articolo e Secondo Articolo.

Particolarmente interessante è il dettaglio del codice html della pagina clone sopra evidenziato in viola, che evidenzia come la copia del sito sia stata realizzata il 19 Agosto 2014 alle ore 17:46 e 16 secondi, usando il software  HTTrack.

Particolare che rileviamo (vedasi immagine sottostante) anche nei file acquisiti dal phishig TotalErg del 2014, ad essere precisi del 25 dicembre 2014…in D3Lab si lavora anche a Natale!!

Battuta a parte, l’evidenza palesa come la paternità dell’attuale clone TotalErg sia imputabile al medesimo gruppo criminale che operò già all’epoca.

acquisizione di un phishing TotalErg del dicembre 2014

L’hash differente è dovuto al differente termine riga, come evidenziato da meld.

differenze tra i file

 

Il Rapporto Clusit 2017 indica un forte aumento delle attività di Phishing nel nostro paese ed è quindi sempre più importante focalizzare l’attenzione di tutta la popolazione su questa attività di frode.

Le aziende devono prevedere attività di formazione per tutto il personale al fine di evitare la divulgazione di documenti riservati, diffusione di ransomware, movimentazioni bancarie illecite o qualsiasi altra attività che può fortemente destabilizzare l’andamento economico di una società.

Questo invito è maggiormente rimarcato per tutte le aziende che hanno un contatto diretto con il consumatore, attraverso i Call Center o Social Care, le quali non devono solamente prevenire un attacco diretto ma evitare che i propri clienti vengano truffati da attività di Phishing con loghi e marchi dell’azienda.

Il consumatore, ignaro del Phishing, ingenuamente penserà che l’addebito inconsueto sulla sua Carta di Credito sia stato eseguito dall’azienda vittima di Phishing e non da un team di Phisher. Creando un danno di immagine rilevante.

Il 22 Marzo abbiamo rilevato su Twitter un imbarazzante situazione del Social Care di TIM, il quale ha invitato un utente a visitare una eMail di Phishing perché la ritenevano lecita.

Lunedì 20 Marzo l’utente Damiano Achilli riceve via eMail la seguente comunicazione:

 

Insospettito da alcuni errori grammaticali decide di chiedere al supporto TIM una conferma, se l’eMail sia legittima o meno:

 

Il servizio clienti conferma la legittimità della comunicazione e l’utente procede a richiedere il rimborso compilando il modulo online.

La risposta del servizio clienti TIM è stata rimossa, ma conteneva quanto segue: “@Damiano_Achilli ciao, si confermiamo ? Buona giornata #TIM4U”.

Damiano fidandosi della risposta ricevuta, perderà 60€ che vengono illecitamente sottratti dalla sua Carta di Credito Prepagata. Si trattava palesemente di una attività di Phishing, con l’utilizzo della codifica base64 come abbiamo visto recentemente in un altro articolo.

Sfruttando Google Cache riusciamo a visualizzare la risposta, che potete vedere anche nel seguente screenshot:

Lo stesso Damiano ci ha inviato due screenshot che ha personalmente effettuato:

 

 

Al fine di dare maggiore evidenza ai dati sopra presentati abbiamo proceduto acquisendo la pagina di Twitter presente nella cache di Google attraverso Hashbot:

 

acquisizione via hashbot

da cui si rileva nuovamente il testo della risposta data dall’account TIM_Official

 

Una ulteriore forma di acquisizione attraverso terze parti è stata effettuata usando le funzionalità di archive.is e qui http://archive.is/7klQT potete vedere sia la pagina che lo screenshot, con la risposta di TIM_Official a Damiano in terza posizione.

Infine abbiamo acquisito il tutto anche con wireshark tramite la visualizzazione della cache di Google, senza fare uso di https.

file: risposta_cancellata_TIM_Official_a_Damiano_Achilli.pcap
sha256: 91b42e0609b76820e9283574c32f84ea3d726a3eb72b7efb0a057000aa96d799

Sfruttando l’opzione File > Export Objects> HTTP di wireshark è possibile estrapolare la pagina web ricevuta in risposta da Google (file packet_1230.txt, sha256 79da9bbbcc4a520fb97c3f7c73f9355ba9fbe913b60b047ca5dbff5f45e1cf60):

 

estrazione pagina da file pcap

 

risposta di TIM_Official all'utente

 

L’accaduto evidenzia quanto la formazione degli operatori destinati a supportare il consumatore (Call Center, Social Care, Personale di Filiale, ecc…) in materia di truffe e frodi sia necessaria a salvaguardia la sicurezza e dell’immagine delle società. La soluzione non passa certo per tweet cancellati.

Update 24 marzo 2017 – 14.37

Damiano, vittima della frode, ci ha raccontato di aver ricevuto notifica del pagamento effettuato dai criminali con la sua carta di credito, nella quale veniva indicato l’acquisto di servizi presso l’ISP francese AMEN.FR

58d14d48abdfa WWW.AMEN PARIS FR N. 654831

Amen.fr è una controllata di Dada Spa, società a cui fa capo pure l’italiana Register.it. E’ quindi presumibile che il criminale abbia usato la carta di credito della vittima per acquistare servizi web da riutilizzare in truffe future.

La TIM è doveroso indicare come la società, attraverso le pratiche burocratiche di rito, si sia impegnata a rimborsare Damiano attraverso i servizi da TIM lui acquistati. Tutto è bene ciò che finisce bene.

In data odierna abbiamo identificato molteplici attacchi di Phishing ai danni di diversi Provider Italiani ed Europei, sono infatti coinvolti:

L’intento dei Phisher è diversificato in base al provider coinvolto, in alcuni casi l’obiettivo è quello di carpire esclusivamente le credenziali di accesso all’account in altri invece l’utente viene invitato a normalizzare un pagamento non riuscito carpendo i dati della carta di credito della vittima.

Gli attaccanti tramite l’acquisizione delle sole credenziali di accesso agli account puntano ad acquisire il controllo delle caselle eMail, Domini o Server associati all’account, ottenendo quindi nuovi destinatari utili per diffondere le eMail di Phishing, caselle eMail nuove da cui inviare campagne di Phishing e spazi web su cui ospitare i Kit di Phishing. Senza trascurare l’eventuale accesso a informazioni sensibili contenute nelle caselle eMail o in spazi riservati dei domini/server.

Il phishing viene diffuso attraverso email con link che portano a pagine web realizzate con codifica base64, questa tecnica permette ai criminali di rendere più complessa l’identificazione degli indirizzi web coinvolti e di poter personalizzare l’URL mostrato nella barra dell’indirizzo del browser con il testo che si preferisce ingannando maggiormente la vittima.

 

Il precedente screenshot ci illustra graficamente questa tecnica, come vediamo il Browser interpreterà correttamente il codice codificato in base64 mostrando all’utente l’indirizzo “data:text/html;http://fastweb.it/cp/ps/Main/login/Authenticate”. Fatta eccezzione della parte iniziale “data:text/html;” l’utente visualizzerà l’indirizzo autentico di Fastweb ignorando che successivamente è presente una stringa in base64 utile al Browser a visualizzare la pagina di Phishing.

Il medesimo server oltre ad ospitare Phishing ai danni dei Provider citati contiene anche cloni dei siti FreeMobile, Swisscom, Orage, Oney, Wester Union, Ameli, Bouygues e SFR.

Vi lasciamo con una galleria fotografica dei diversi cloni coinvolti in questo attacco.

L’individuazione dei diversi cloni è avvenuta partendo dall’analisi del phishing Aruba segnalato sui social network (tweet) da Paolo Dal Checco, noto analista forense.

Tweet di Paolo Dal Checco

 

Integrazione 16/03/2017 ore 17:01

In data odierna, a seguito dell’articolo sopra riportato, abbiamo ricevuto richiesta via mail da parte di Keliweb S.R.L., di comprovare che effettivamente era stato fatto uso dei loro loghi e marchi in azioni criminali, in alternativa eravamo invitati a rimuovere dal post quanto riguardava la società.

Si reputa necessario quindi integrare al meglio l’informazioni: i post pubblicati hanno sempre e solo la finalità di informare l’utenza del web sulle nuove metodiche criminali e sui nuovi target scelti dagli stessi. Sino ad ora mai nessuna società o istituto bancario citato nei post ha contestato l’informazione prodotta e D3Lab ha sempre garantito la massima trasparenza nel fornire alle società, se richiesto, le informazioni utili affinché queste potessero intervenire a contrasto della frode.

Come sopra scritto l’analisi della campagna di phishing si è sviluppata partendo da un tweet di Paolo Dal Checco, noto esperto di informatica forense, curatore tra l’altro di uno dei blog più ricchi di informazioni riguardo alla minaccia ransomware. Competenza e serietà del Dal Checco ci hanno portato a ritenere l’informazionetrasmessa con il tweet serie ed attendibile. Abbiamo successivamente comprovato l’esistenza del clone visitando gli url segnalati, il primo su ipixline[dot]fr avente funizone di redict rappresentava presumibilmente il link presente nella mail di attacco, il secondo, su dedibox[dot]fr, il clone.

Nello svolgimento delle attività di monitoraggio e contrasto del phishing non è affatto raro che l’azione di identificazione di un url malevolo avvenga senza avere in mano la mail di attacco, come in questo caso.

Ricercando informazioni in relazione agli host coinvolti si rilevava su VirusTotal che il server con ip 51.15.13.125 assegnato all’host sd-123370.dedibox.fr era già stato impiegato per phishing a danno di ISP a fine febbraio.

virus total ip analisys

In comune con la campagna discussa in questo post vi era sia il target, un ISP, sia l’uso del file snd.php.

Si è proceduto ricercando path relativi agli ISP già colpiti da phishing individuando diversi clone a danno di diversi provider.

url malevoli rilevati

Venendo nello specifico alla pagina clone riproducente la grafica di Keliweb.it, presenti all’url sd-123370.dedibox[dot]fr/keliweb/snd.php, è sufficiente l’uso di curl per visualizzare il sorgente reale della pagina, senza che il browser lo interpreti.

sorgente pagina al terminale

Si può notare come il codice html della pagina codificato in base 64 sia inserito nel tag meta, con i vantaggi per i criminali citati sopra.

Il medesimo risultato può essere osservato facendo uso del tool Hashbot, pensato proprio per l’acquisizione forense delle risorse web.

acquisizione con hashbot

 

hashbot check code

 

Decodificando il codice base64 così acquisito si ottiene il codice html della pagina clone

codice pagina clone deoffuscato

 

da cui si può osservare come i criminali non si siano nemmeno preoccupati di fare una copia di tutte le risorse web (immagini, js, css) impiegate dalla pagina web del provider, ma abbiano linkato direttamente quelle presenti sul sito legittimo della società colpita.

Sniffando il traffico con Wireshark osserviamo il tutto con maggior dettaglio.

dettaglio con Wireshark della richiesta pagina

 

ed ancora.

dettaglio con Wireshark della richiesta pagina

Dovrebbe a questo punto risultare certa la presenza on-line della pagina con grafica, loghi e marchi Keliweb.it realizzata dai criminali.

Le informazioni riportate in questa integrazione sono state inviate a Keliweb via posta elettronica (normale e certificata). D3Lab resta ovviamente a disposizione della società per ulteriori chiarimenti e si augura che l’url della pagina malevola, ora a loro noto, possa consentirgli di intervenire presso l’hoster per ottenere la messa off-line della stessa.

 

Come scrivevamo nel precedente articolo i predatori son tornati e lo hanno fatto alla grande mettendo in atto in pochi giorni tentativi di phishing a danno di IngDirect, Eni/Agip, Poste Italiane, un operatore di telefonia mobile ed oggi Mediaworld! Sempre sfruttando nuovi domini ad-hoc!

Il Recorder Team, cosi lo abbiamo nominato, colpì la grande distribuzione già in passato con una pesante campagna di phishing a danno di Carrefour e con questo attacco sembra orientarsi nuovamente verso la GDO ed in particolare verso gli articoli tecnologici, rappresentanti un mercato sempre vivace.

Il tentativo di Phishing è stato rilevato e segnalato con un primo tweet da parte di @illegalFawn, ricercatore particolarmente attivo nell’identificazione di questi particolari tipi di frode.

first phishing warning by @illegalFawn

La frode è stata rilevata attraverso la ricezione di un messaggio email apparentemente inviato da Mediaworl contenente l’offerta per l’acquisto di un iPhone con un elevatissimo sconto.

mail fraudolenta

Il clone realizzato dai criminali è risultato essere in hosting sul medesimo provider impiegato per i casi più recenti ed essere posizionato nello spazio web del dominio mediaworlld.com creato ad hoc dai criminali sfruttando un typosquatting, la doppia “l” in WORLLD, che facilmente passa inosservato all’occhio dell’utente frettoloso, concentrato principalmente ad osservare l’offerta presente sulla pagina web.

L’analisi del clone ha permesso di rilevare come tutte le risorse impiegate (css, immagini, ecc..) siano incluse nell’hosting, mentre i link facciano tutti riferimento all’effettivo sito web di MediaWorld.

Il tentativo di frode si basa sulla scelta da parte dell’utente di un articolo tecnologico presente sulla pagina principale del clone

seconda pagina phishing

Cliccando su prosegui l’utente viene portato successiva pagina in cui gli sono richiesti i dati della carta di credito, visualizzando il costo di acquisto dell’articolo prescelto (lo screenshot presenti in questo post provengono da prove diverse).

richiesta dati carta di credito

E’ interessante notare come questa grafica fosse già impiegata nei cloni impiegati nei phishing a danno di Carrefour (vedasi terza immagine post relativo) , con l’immagine del retro della carta di credito che compare solo all’atto di completare il form relativo al cvv.

Inseriti i dati delle carta di credito l’utente approda ad una pagina di riepilogo e conferma

pagina di riepilogo ordine

L’ultima pagina conferma l’avvenuto pagamento ed inoltro dell’ordine.

conferma ordine

Dopo poco all’indirizzo mail inserito nel form della pagina in cui erano richiesti i dati di carta di credito, arriverà la mail di conferma dell’ordine.

mail di conferma

L’analisi degli headers ci fornisce alcune informazioni a conferma del dominio mittente e del path locale dello script php incaricato di eseguire l’invio del messaggio.

mail headers
home page di phishing

Il personale D3Lab esamina casi di phishing dal 2009 e nell’arco del tempo ha avuto modo di rilevare cambiamenti nelle metodiche criminali, talvolta cambiamenti importanti, adottati da alcune entità piuttosto che da altre, quindi utili come fingerprint per identificare il team criminale autore di una campagna di phishing piuttosto che di un’altra.

Uno dei gruppi criminali più agguerriti fu identificato sin dal 2012 e in D3Lab lo denominammo Recorder Team. Nei primi due anni questa entità criminale operò con metodiche abbastanza standard, ma in breve si distinse per l’impiego di nomi dominio che l’utenza del web poteva facilmente confondere con quelli legittimi delle società target. Inizialmente si trattò di nomi host per i servizi di dns dinamico,  ma in breve, presumibilmente dopo una prima fase operativa ed il conseguente ritorno economico, il team cominciò ad investire su domini di secondo livello. Continua a leggere

Il nostro servizio di Brand Monitor permette di monitorare la registrazione di nuovi domini internet a tutela di un marchio individuando tempestivamente utilizzi inopportuni del brand del cliente. È sempre più frequente rilevare criminali informatici che registrano nuovi domini molto similari agli originali per confondere l’utente e trarlo in inganno, i domini vengono spesso usati per diffondere Malware, Phishing Bancario (es. Bonus 500euro, SMS Poste Italiane, PayPal, ecc), Man in The Mail (es. Ubiquiti stung US$46.7 million in e-mail spoofing fraud) o destabilizzare l’asseto azionario come successe a Intesa San Paolo con la registrazione di un dominio ad-hoc e la relativa pubblicazione di un falso comunicato dell’AD Carlo Messina.

Nel corso dell’ultima settimana abbiamo rilevato la registrazione di un elevato numero di domini con TLD .xyz sfruttati per attuare una campagna di Phishing ai danni dei titolari di carte di credito emesse da Lottomatica, ovvero la Lottomaticard e la carta di credito prepagata PayPal che ricordiamo essere emessa da Lottomatica e Banca Sella per il nostro paese.

I domini registrati tra l’8 Febbraio e il 12 sono in totale 55:

cartalislottomaticard.xyz
cartalislottomaticard0.xyz
cartalislottomaticard1.xyz
cartalislottomaticard2.xyz
cartalislottomaticard3.xyz
cartalislottomaticard4.xyz
cartalislottomaticard5.xyz
cartalislottomaticard6.xyz
cartalislottomaticard7.xyz
cartalislottomaticard8.xyz
cartalislottomaticard9.xyz
cartalisprepagat.xyz
cartalisprepagata1.xyz
cartalisprepagata2.xyz
cartalisprepagata3.xyz
cartalisprepagata4.xyz
cartalisprepagata6.xyz
cartalisprepagata7.xyz
cartalisprepagata8.xyz
cartalisprepagata9.xyz
cartalisprepagata12.xyz
cartalisprepagata13.xyz
cartalisprepagata14.xyz
cartalisprepagata15.xyz
cartalisprepagata16.xyz
cartalisprepagata17.xyz
cartalisprepagata19.xyz
cartalisprepagate.xyz
cartalisprepagate1.xyz
cartalisprepagate2.xyz
cartalisprepagate3.xyz
cartalisprepagatee.xyz
cartalisprepagati.xyz
cartalisprepagatii.xyz
lottomaticard.xyz
lottomaticard1.xyz
lottomaticard2.xyz
lottomaticard3.xyz
lottomaticard4.xyz
lottomaticard5.xyz
lottomaticard6.xyz
lottomaticard7.xyz
lottomaticard8.xyz
lottomaticard9.xyz
lottomaticard10.xyz
lottomaticard11.xyz
lottomaticard12.xyz
lottomaticard13.xyz
lottomaticard14.xyz
lottomaticard15.xyz
lottomaticard16.xyz
lottomaticard17.xyz
lottomaticard18.xyz
lottomaticard19.xyz
lottomaticard20.xyz

I phisher al fine di limitare una immediata identificazione delle pagine fraudolente hanno previsto un redirect verso il dominio otobankasi.com se si accede direttamente al dominio o al sotto-dominio www, per visualizzare le pagine di Phishing bisognerà indicare un sotto-dominio random. Questa tecnica permette anche di limitare le funzionalità delle BlackList di Phishing poichè l’url visualizzato dall’utente varierà continuamente.

Nei due screenshot precedenti vediamo un anteprima delle pagine fraudolente, in esse l’utente è invitato ad inserire le credenziali per poter accedere al pannello di controllo della propria carta e i dati relativi ad essa. Data la richiesta delle credenziali di login, e non solo i dati della carta, è probabile che il team di Phisher voglia trasferire i fondi della vittima verso un’altra prepagata emessa da CartaLIS/Lottomatica.

I domini sono stati registrati a nome di due persone Debora Cestari e Ovidiu Ioan Sara, probabilmente sono nominativi inventati o vittime di altre campagne di Phishing, i cui dati e lecui carte di credito possono essere usate per acquistare servizi utili alla struttura criminale… il phishing è anche questo, vittime inconsapevolmente  coinvolti nelle frodi.

Un altro ente fortemente colpito in Italia attraverso la creazione di domini ad-hoc è Poste Italiane, dal 1 Gennaio 2017 ad oggi abbiamo rilevato la registrazione di 107 nuovi domini sospetti, a dimostrazione di quanto la metodica sia ampiamente impiegata dai criminali e di come il suo controllo e contrasto richiesta procedure e servizi ad hoc.

Una nuova eMail di Phishing Bancario ai danni di Poste Italiane veicola l’attacco tramite una falsa promessa di estensione del Bonus di 500euro per i 18enni alle famiglie!

Il Bonus Cultura, apprendiamo su 18app, è una iniziativa a cura del Ministero dei Beni e delle Attività Culturali e del Turismo e della Presidenza del Consiglio dei Ministri dedicata a promuovere la cultura. Il programma, destinato a chi compie 18 anni nel 2016, permette loro di ottenere 500€ da spendere in cinema, concerti, eventi culturali, libri, musei, monumenti e parchi, teatro e danza. I ragazzi hanno tempo fino al 30 giugno 2017 per registrarsi al Bonus Cultura e fino al 31 dicembre 2017 per spendere il bonus.

Nella mail che vi mostriamo in apertura viene invece promesso tale bonus economico anche alle famiglie tramite Bonifico SEPA che verrà accreditato sulla carta Evolution di Poste Italiane, inoltre avvisa l’utente che i fondi possono terminare spingendolo ad affrettarsi nel completare la procedura.

Selezionando il link “Procedi” l’utente viene rediretto sul dominio ingbnl.com che visualizza al cliente un perfetto Kit di Phishing ai danni di Poste, come è possibile visualizzare nello screenshot seguente.

Il kit effettua una verifica dei dati inseriti dall’utente riportando un eventuale errore delle credenziali digitate, nel seguente screenshot simulando l’inserimento del nome utente “test.test” e password “test123456” viene riportato all’utente un errore delle credenziali inserite.

Il dominio ingbnl.com sfruttato in questa campagna di Phishing concatena le sigle di due istituti di credito Italiani ING (ING Direct) e BNL (Banca Nazionale del Lavoro) confermando l’ipotesi che sia stato creato ad-hoc per eseguire delle attività fraudolente. Da un whois apprendiamo i seguenti dati (oscuriamo volutamente il numero di cellulare):

Domain Name: INGBNL.COM
Registry Domain ID: 2087790266_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.register.it
Registrar URL: http://we.register.it
Updated Date: 2017-01-06T00:00:00Z
Creation Date: 2017-01-06T00:00:00Z
Registrar Registration Expiration Date: 2018-01-06T00:00:00Z
Registrar: REGISTER.IT S.P.A.
Registrar IANA ID: 168
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +39.5520021555
Reseller:
Domain Status: ok
Registry Registrant ID:
Registrant Name: Michele Pitzeri
Registrant Organization: Michele Pitzeri
Registrant Street: VIA PIO LA TORRE 15
Registrant City: SAN SPERATE
Registrant State/Province: CA
Registrant Postal Code: 09026
Registrant Country: IT
Registrant Phone: +39.33175487XX
Registrant Phone Ext:
Registrant Fax: +39.33175487XX
Registrant Fax Ext:
Registrant Email: [email protected]

Tramite una operazione di OSINT sull’indirizzo eMail riportato rileviamo un profilo Facebook denominato “Ministero DelleFinanze” a conferma di una operazione debita ad effettuare frodi bancarie.

Dalle modalità operative e di struttura del Kit di Phishing ricolleghiamo questo Team a casi di Telefonia, ENI/Agip, Carrefour degli anni passati.