Daniele, il Co-Founder di Dimension srl, ha recentemente raccontato sul suo profilo Facebook di aver subito un tentativo di Phishing a seguito del furto del suo smartphone iPhone.
Riepiloghiamo nel dettaglio l’accaduto, il 22 Luglio Daniele è andato al concerto dei The Chemical Brothers a Milano durante l’evento gli è stato sottratto l’iPhone che teneva in tasca si è accorto del furto grazie all’avviso di mancato collegamento con l’Apple Watch che portava al polso. Il concerto è ormai stato rovinato e trascorre tutta la sera a guardare l’orologio con la speranza di riprendere il segnale Bluetooth del cellulare con l’aspettativa di individuare nelle vicinanze il suo telefono e forse anche i malfattori.
Uscendo dal concerto Daniele si preoccupa di localizzare tramite il servizio Trova iPhone il proprio dispositivo, ma purtroppo il telefono non viene individuato probabilmente perché hanno provveduto a spegnerlo. Conseguentemente decide di attivare la modalità Smarrito attraverso il portale iCloud, tale modalità permette di bloccare il dispositivo con un codice di quattro cifre, far apparire un messaggio personalizzato nella lock-screen e tenere traccia di eventuali future posizioni del telefono se per caso venisse riacceso.
In questo stato l’iPhone è inutilizzabile. Anche un eventuale ripristino del dispositivo tramite iTunes impedirebbe ai ladri di completare la procedura di attivazione, Apple ha infatti introdotto da iOS 8 un ulteriore step di sicurezza per prevenire la riattivazione. Se sull’iPhone è attiva la funzione Trova iPhone e un utente ripristina il dispositivo alla riaccensione vengono chieste le credenziali Apple dell’utente (username, password ed eventuale procedura Two Factory Authentication). Anche Android Marshmallow ha introdotto tale novità.
Daniele fortunatamente aveva attivato il Trova iPhone e quindi i ladri erano impossibilitati nel completare la procedura di ripristino del telefono per poi usarlo/rivenderlo. Per poter completare la procedura necessitavano delle credenziali di Daniele, credenziali che hanno tentato di ottenere mediante il Phishing via SMS, l’iPhone come ormai altri smartphone ha una modalità Emergenza che se correttamente configurata attraverso l’applicazione Salute permette di mostrare la propria Cartella Clinica nella quale è possibile memorizzare diverse informazioni come la propria data di nascita, altezza, peso, gruppo sanguigno e i contatti per l’emergenza. Ovvero quei contatti che un soccorritore dovrebbe chiamare in caso di urgenti necessità.
Daniele aveva correttamente configurato la modalità d’emergenza inserendo il numero di cellulare della compagnia, tale numero era l’unica informazione utile ai criminali per effettuare un attacco di Phishing e rubare l’ID Apple e la Password. Attacco che non si è fatto attendere, dopo alcuni giorni sul cellulare della compagna è arrivato il seguente SMS che riporta le medesime caratteristiche e modello dell’iPhone di Daniele il che esclude ogni eventuale coincidenza.
Il testo del messaggio è il seguente:
Il tuo smarrito iPhone 6S Oro 64GB è stato localizzato oggi alle 03:14pm on July 26, 2016. Controllare la posizione su http://lcloud.lt/?location=278d3
Questo e un messaggio automatico da Apple™
Analizzando il messaggio notiamo immediatamente degli errori grammaticali come “il tuo smarrito”, inoltre l’orario e la data vengono espressi nel formato Inglese riportando il PM e anteponendo il mese al giorno, un corretto messaggio in Italiano avrebbe riportato la data nel formato 24H e il giorno prima del mese. Analizzando invece il sito internet indicato ci accorgiamo che è stata sfruttata la somiglianza grafica del carattere i con il carattere l per far credere all’utente di accedere ad un sito autentico, se riportiamo in maiuscolo il nome LCLOUD notiamo subito l’evidente differenza rispetto al nome originale ICLOUD ma scrivendo la elle (l) in minuscolo è facile confondere l’utente distratto che leggerà nella fretta una i.
Visitando il sito LCLOUD.LT appare un perfetto clone del portale Apple, clone che si adatta automaticamente alla lingua del visitatore come abbiamo già visto per i casi ai danni di PayPal.
Un whois sul dominio di Phishing ci riporta che è stato registrato il 18 Maggio 2016 dall’utente Konstantin Verhovoda avente eMail [email protected], ma come abbiamo già evidenziato in passato durante la registrazione di un dominio non è necessario fornire i documenti di identità e quindi tali informazioni sono facilmente falsificabili.
Notiamo inoltre che il dominio in poco più di 2 mesi ha cambiato due volte la configurazione DNS e il registrante è il provider EPAG.
Se Daniele fosse cascato nell’attacco di Phishing i criminali potevano completare la procedura di ripristino e successiva attivazione e quindi poter vendere o usare il telefono sottratto al concerto.
Ma in quanti ci cascano? Vale veramente la pena ai criminali organizzare un attacco di Phishing?
Non possiamo darvi una risposta certa, ma analizzando l’intera vicenda sicuramente potrete trarre le vostre conclusioni.
Innanzitutto la registrazione di un dominio Lituano (.lt) varia da 15 ai 89euro in base al provider scelto, sappiamo che il Phisher ha sfruttato EPAG come registrante e tale Provider richiede 79euro all’anno per un dominio con estensione .LT. Il sito è inoltre ospitato su un server avente IP 95.46.114.168, attraverso un Reverse Ip Lockup identifichiamo che su tale server è presente il solo dominio LCLOUD.LT e un errore di configurazione del kit di Phishing ci fornisce ulteriori dettagli sulla configurazione del server e dei relativi servizi utilizzati:
Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in /var/www/www-root/data/www/lcloud.lt/
Il Phisher ha acquistato un dominio creato ad-hoc, un server o un Virtual Server attraverso il provider Time Host. Ma non solo, se riguardiamo lo screen del SMS creato da Daniele ci accorgiamo inoltre che SMS non è stato spedito da un numero qualsiasi, ma è stato personalizzato con la dicitura FindMyPhone. Solitamente chi vende online servizi di SMS offre la personalizzazione del mittente ad un costo aggiuntivo e inoltre si vendono pacchetti di SMS non l’invio di uno solo, questa può essere la conferma che sia una pratica consolidata. Tramite il sito Italiano BeSMS apprendiamo che l’invio di 100 SMS con mittente personalizzato ha un costo di 7,99euro.
Pertanto il Phisher nella migliore delle ipotesi per tentare l’attacco a Daniele ha dovuto sostenere le spese di acquisto del dominio, 79euro, l’acquisto di un Server, circa altri 15euro se è un server virtuale e almeno 8euro di SMS per un totale di 102euro. Rischiando che questi 100€ vengano “brucati” nel giro di poche ore, bruciati poichè occasionalmente quando il sito viene riportanto nelle Black List pubbliche di Phishing il provider o il registrante del dominio sospendono la fruizione del servizio mandando all’aria l’intera operazione.
Infine bisogna considerare l’importante lavoro di creazione del Clone Apple, il quale dopo una nostra analisi ha le seguenti caratteristiche:
- Multilingua;
- Clonazione in tempo reale del sito autentico;
- Verifica delle credenziali inserite;
- Simulazione della mappa per la funzione Trova iPhone;
- Filtro sull’IP del visitatore o in base all’URL digitato;
- Blocco dei Boot dei motori di ricerca (GoogleBot, MNSBot, ecc)
- Pannello di Amministratore;
- Interazione con un Database MySQL.
Il clone non sapiamo se è stato sviluppato dal Phisher o magari l’hai acquistato nel Deep Web, certamente sono servite qualche ore per svilupparlo.
Notiamo quindi un importante dispiego di energie e denaro per riuscire a sbloccare l’iPhone di Daniele, e chissà quanti altri. Ne vale la pena, vale la pena rischiare di spendere 100euro per nuovi domini/server e nella peggiore (migliore per gli utenti) delle ipotesi vederseli bloccare dopo due giorni? Certo, un iPhone 6S nel mercato dell’usato privo di scatola originale vale circa 400euro ovvero quattro volte tanto la spesa sostenuta dal Phisher.
Concludiamo con una galleria di screenshot del Kit presente all’indirizzo lcloud.lt: