Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

Il monitoraggio D3Lab permette di rilevare sempre numerose mails di phishing che puntano a false pagine di login a servizi online di webmail quali Yahoo, Google ecc… ma anche a specifici servizi di gestione mailbox in lingua italiana, come l’attuale spam ai danni di TIM – Alice mail.

Questa è una mail di phishing TIM ricevuta nella primissima mattina di ieri, lunedì 1 agosto,

1mail

Continua a leggere

find_hero

 

Daniele, il Co-Founder di Dimension srl, ha recentemente raccontato sul suo profilo Facebook di aver subito un tentativo di Phishing a seguito del furto del suo smartphone iPhone.

Riepiloghiamo nel dettaglio l’accaduto, il 22 Luglio Daniele è andato al concerto dei The Chemical Brothers a Milano durante l’evento gli è stato sottratto l’iPhone che teneva in tasca si è accorto del furto grazie all’avviso di mancato collegamento con l’Apple Watch che portava al polso. Il concerto è ormai stato rovinato e trascorre tutta la sera a guardare l’orologio con la speranza di riprendere il segnale Bluetooth del cellulare con l’aspettativa di individuare nelle vicinanze il suo telefono e forse anche i malfattori.

Uscendo dal concerto Daniele si preoccupa di localizzare tramite il servizio Trova iPhone il proprio dispositivo, ma purtroppo il telefono non viene individuato probabilmente perché hanno provveduto a spegnerlo. Conseguentemente decide di attivare la modalità Smarrito attraverso il portale iCloud, tale modalità permette di bloccare il dispositivo con un codice di quattro cifre, far apparire un messaggio personalizzato nella lock-screen e tenere traccia di eventuali future posizioni del telefono se per caso venisse riacceso.

ios9-lost-mode-track-device

In questo stato l’iPhone è inutilizzabile. Anche un eventuale ripristino del dispositivo tramite iTunes impedirebbe ai ladri di completare la procedura di attivazione, Apple ha infatti introdotto da iOS 8 un ulteriore step di sicurezza per prevenire la riattivazione. Se sull’iPhone è attiva la funzione Trova iPhone e un utente ripristina il dispositivo alla riaccensione vengono chieste le credenziali Apple dell’utente (username, password ed eventuale procedura Two Factory Authentication). Anche Android Marshmallow ha introdotto tale novità.

find_activation_lock

Daniele fortunatamente aveva attivato il Trova iPhone e quindi i ladri erano impossibilitati nel completare la procedura di ripristino del telefono per poi usarlo/rivenderlo. Per poter completare la procedura necessitavano delle credenziali di Daniele, credenziali che hanno tentato di ottenere mediante il Phishing via SMS, l’iPhone come ormai altri smartphone ha una modalità Emergenza che se correttamente configurata attraverso l’applicazione Salute permette di mostrare la propria Cartella Clinica nella quale è possibile memorizzare diverse informazioni come la propria data di nascita, altezza, peso, gruppo sanguigno e i contatti per l’emergenza. Ovvero quei contatti che un soccorritore dovrebbe chiamare in caso di urgenti necessità.

iPhone medical emergency contact

 

Daniele aveva correttamente configurato la modalità d’emergenza inserendo il numero di cellulare della compagnia, tale numero era l’unica informazione utile ai criminali per effettuare un attacco di Phishing e rubare l’ID Apple e la Password. Attacco che non si è fatto attendere, dopo alcuni giorni sul cellulare della compagna è arrivato il seguente SMS che riporta le medesime caratteristiche e modello dell’iPhone di Daniele il che esclude ogni eventuale coincidenza.

 

SMS Phishing Apple

Il testo del messaggio è il seguente:

Il tuo smarrito iPhone 6S Oro 64GB è stato localizzato oggi alle 03:14pm on July 26, 2016. Controllare la posizione su http://lcloud.lt/?location=278d3

Questo e un messaggio automatico da Apple™

Analizzando il messaggio notiamo immediatamente degli errori grammaticali come “il tuo smarrito”, inoltre l’orario e la data vengono espressi nel formato Inglese riportando il PM e anteponendo il mese al giorno, un corretto messaggio in Italiano avrebbe riportato la data nel formato 24H e il giorno prima del mese. Analizzando invece il sito internet indicato ci accorgiamo che è stata sfruttata la somiglianza grafica del carattere i con il carattere l per far credere all’utente di accedere ad un sito autentico, se riportiamo in maiuscolo il nome LCLOUD notiamo subito l’evidente differenza rispetto al nome originale ICLOUD ma scrivendo la elle (l) in minuscolo è facile confondere l’utente distratto che leggerà nella fretta una i.

Visitando il sito LCLOUD.LT appare un perfetto clone del portale Apple, clone che si adatta automaticamente alla lingua del visitatore come abbiamo già visto per i casi ai danni di PayPal.

Un whois sul dominio di Phishing ci riporta che è stato registrato il 18 Maggio 2016 dall’utente Konstantin Verhovoda avente eMail [email protected], ma come abbiamo già evidenziato in passato durante la registrazione di un dominio non è necessario fornire i documenti di identità e quindi tali informazioni sono facilmente falsificabili.

Notiamo inoltre che il dominio in poco più di 2 mesi ha cambiato due volte la configurazione DNS e il registrante è il provider EPAG.

Se Daniele fosse cascato nell’attacco di Phishing i criminali potevano completare la procedura di ripristino e successiva attivazione e quindi poter vendere o usare il telefono sottratto al concerto.

Ma in quanti ci cascano? Vale veramente la pena ai criminali organizzare un attacco di Phishing?

Non possiamo darvi una risposta certa, ma analizzando l’intera vicenda sicuramente potrete trarre le vostre conclusioni.

Innanzitutto la registrazione di un dominio Lituano (.lt) varia da 15 ai 89euro in base al provider scelto, sappiamo che il Phisher ha sfruttato EPAG come registrante e tale Provider richiede 79euro all’anno per un dominio con estensione .LT. Il sito è inoltre ospitato su un server avente IP 95.46.114.168, attraverso un Reverse Ip Lockup identifichiamo che su tale server è presente il solo dominio LCLOUD.LT e un errore di configurazione del kit di Phishing ci fornisce ulteriori dettagli sulla configurazione del server e dei relativi servizi utilizzati:

Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in /var/www/www-root/data/www/lcloud.lt/

EPAG Domainservices GmbH - Domains and SSL certificates for resellers

Il Phisher ha acquistato un dominio creato ad-hoc, un server o un Virtual Server attraverso il provider Time Host. Ma non solo, se riguardiamo lo screen del SMS creato da Daniele ci accorgiamo inoltre che SMS non è stato spedito da un numero qualsiasi, ma è stato personalizzato con la dicitura FindMyPhone. Solitamente chi vende online servizi di SMS offre la personalizzazione del mittente ad un costo aggiuntivo e inoltre si vendono pacchetti di SMS non l’invio di uno solo, questa può essere la conferma che sia una pratica consolidata. Tramite il sito Italiano BeSMS apprendiamo che l’invio di 100 SMS con mittente personalizzato ha un costo di 7,99euro.

Pertanto il Phisher nella migliore delle ipotesi per tentare l’attacco a Daniele ha dovuto sostenere le spese di acquisto del dominio, 79euro, l’acquisto di un Server, circa altri 15euro se è un server virtuale e almeno 8euro di SMS per un totale di 102euro. Rischiando che questi 100€ vengano “brucati” nel giro di poche ore, bruciati poichè occasionalmente quando il sito viene riportanto nelle Black List pubbliche di Phishing il provider o il registrante del dominio sospendono la fruizione del servizio mandando all’aria l’intera operazione.

Infine bisogna considerare l’importante lavoro di creazione del Clone Apple, il quale dopo una nostra analisi ha le seguenti caratteristiche:

  • Multilingua;
  • Clonazione in tempo reale del sito autentico;
  • Verifica delle credenziali inserite;
  • Simulazione della mappa per la funzione Trova iPhone;
  • Filtro sull’IP del visitatore o in base all’URL digitato;
  • Blocco dei Boot dei motori di ricerca (GoogleBot, MNSBot, ecc)
  • Pannello di Amministratore;
  • Interazione con un Database MySQL.

Il clone non sapiamo se è stato sviluppato dal Phisher o magari l’hai acquistato nel Deep Web, certamente sono servite qualche ore per svilupparlo.

Notiamo quindi un importante dispiego di energie e denaro per riuscire a sbloccare l’iPhone di Daniele, e chissà quanti altri. Ne vale la pena, vale la pena rischiare di spendere 100euro per nuovi domini/server e nella peggiore (migliore per gli utenti) delle ipotesi vederseli bloccare dopo due giorni? Certo, un iPhone 6S nel mercato dell’usato privo di scatola originale vale circa 400euro ovvero quattro volte tanto la spesa sostenuta dal Phisher.

Concludiamo con una galleria di screenshot del Kit presente all’indirizzo lcloud.lt:

 

 

Il monitoraggio del phishing internazionale ci ha portato a rilevare molteplici tentativi di frode a danno degli utenti di Free Mobile, società controllata de Illiade Group che si occupa di telefonia mobile in Francia.

D3Lab ha iniziato la sua attività di analisi del phishing a danno di Free Mobile dal secondo semestre dal 2014 e dal grafico sottostante si può osservare come il numero di tentativi di frode a danno dell’operatore francese sia man mano cresciuto nel tempo.

20160628112803

Continua a leggere

Per anni i criminali ci hanno portato sulle pagine di phishing inondandoci di false mail. Negli ultimi due anni, data la diffusione di smartphone che consentono una agevolo navigazione sul web, hanno cominciato a veicolare i propri attacchi attraverso SMS, senza tralasciare l’uso di sistemi di messaggistica istantanea quali WhatsApp, o sfruttando l’enorme diffusione dei social network.

Nell’ultimo trimestre si è invece assistito ad un crescente numero di campagne di phishing attraverso le tecniche di marketing sui social network, la cui più banale applicazione è l’acquisto di “spazi pubblicitari” da mostrare agli utenti che effettuano ricerche con specifiche parole.

Dopo i casi verificatesi nell’arco del trimestre a danno di istituti nostri clienti in data odierna, effettuando i monitoraggi di prassi su questo “canale di diffusione”, abbiamo rilevato una campagna di phishing in atto a danno di UBI Banca.

20160725135147

Continua a leggere

 

SMS Phishing

Nel primo semestre 2016 dalle analisi sul Phishing abbiamo registrato un maggior impiego degli SMS quali veicolo di attacco agli istituti bancari e non solo, in particolare è stato abbondantemente sfruttato il numero 3424112671 come mittente dei brevi messaggi di testo. È probabile che tale numero appartenga ad un Gateway SMS ovvero ad un fornitore di servizi SMS attraverso internet.

I primi messaggi fraudolenti relativi a questo numero di cellulare risalgono ad Ottobre 2015, da allora ad oggi tramite questo numero sono state colpite diverse società:

  • Poste Italiane;
  • WhatsApp;
  • Intesa San Paolo;
  • Facebook;
  • Deutsche Italy Bank;
  • Lottomatica;
  • Banca Marche.

Gli SMS sono un perfetto vettore per il Phishing poiché permettono di scavalcare i filtri antispam delle caselle eMail e catturano maggiormente l’attenzione del destinatario. È un metodo di Phishing meno diffuso e l’utente più inesperto viene tratto in inganno da questa nuova forma di truffa che fino ad ora si era principalmente affermata tramite eMail.

Phishing WhatsApp

Sono diverse le fonti online che citano questo numero e riportano il contenuto degli SMS, la pagina Facebook di “Trutte e Raggiri” lo scorso 8 Aprile 2016 riportava un caso di Phishing ai danni di WhatsApp.

SMS_phishing_23_02_2016

Ma ancor prima a Febbraio 2016 il numero è stato sfruttato per una campagna ai danni di Intesa San Paolo, ed è proprio il gruppo di IT.news.net-abuse su Google a riportare la notizia.

2016.07.21_Screenshot_1532380

Sempre a Febbraio 2016 lo stesso numero, come ci riporta stopting, veniva sfruttato per carpire le credenziali degli utenti della Banca Marche.

2016.07.21_Screenshot_1552480

2016.07.21_Screenshot_1552400

2016.07.21_Screenshot_1552180

Tra ottobre e novembre del 2015 si sono verificati diversi casi ai danni di Poste e WhatsApp secondo i commenti riportati su unknownphone, Poste Italiane che è ancora oggi una vittima del Phishing mediante questo numero. Come possiamo visualizzare da questa segnalazione su Twitter odierna:

2016.07.21_Screenshot_1555270

È importante notare il crescente utilizzo di domini creati ad-hoc, come avevamo già riportato nell’articolo dedicato a PayPal, per carpire ancor più l’attenzione della vittima, rendendo l’inganno più preciso e mirato.

Un estratto dei domini coinvolti è il seguente:

  • postedirect3d.it
  • whatapp.com
  • onlineposte.com
  • myposte3d.co
  • leDB.it
  • myposte5d.it
  • contonet.it
  • whatsapp-italy.net
  • posteinfo.pw
  • posteinfo.us
  • myintesaonline.it

Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e perfezionamento, sfrutta nuove tecniche per carpire le sue vittime e nuovi approcci per risultare più similare al target preso di mira.

Nell’ultimo mese la D3Lab ha assistito ad un’ondata di messaggi di posta elettronica a danno dei clienti di Banca Popolare di Vicenza. L’utente riceve una mail dove gli viene richiesto di confermare le informazioni fornite durante la sottoscrizione dei servizi BVIGO.

bvigo

Continua a leggere

 

Logo_Pokémon_Go

 

In Italia non è ancora arrivata l’applicazione Pokemon GO, ma in tutto il mondo è già un vero tormentone. La nuova applicazione sviluppata da Nintendo permette all’utente di giocare attraverso il proprio smartphone iOS o Android sfruttando la realtà aumentata e la tecnologia GPS.

Il videogioco ha sollevato un furore mediatico che l’azienda non percepiva dai tempi della Wii, le azioni di Nintendo hanno raggiunto quota 26 dollari con un rialzo massimo del 14%. Il più alto rialzo dal 1983 ad oggi per l’azienda.

pokemon1_col-750x698 pokemon1_line

In base ai dati pubblicati dalla SurveyMonkey il gioco è il più utilizzato negli USA e l’utilizzo medio quotidiano per utente ha superato i due Social Network Snapchat e Twitter.

L’attesa snervante per gli utenti Europei, che ancora non posso scaricare l’applicazione e la forte richiesta del gioco hanno creato dei market-place paralleli per il mercato Android in cui è possibile scaricare il software. Peccato che la società di consulenza proofpoint abbia individuato la presenza di un malware nell’applicazione diffusa nei market-place di terze parti.

Ma un mercato così vasto non ha solo alimentato la creazione di malware, ma sono in corso anche campagne di Phishing con domini creati ad-hoc. Campagne che promettono all’utente la vincita di Poké Coins a patto di condividere il sito internet su Facebook e una volta effettua la condivisione l’utente viene poi reindirizzato in un ulteriore sito internet in base alla sua localizzazione. Quest’ultimo sito promette buoni spesa, formazione lavorativa, ecc a patto di inserire i propri dati personali (Nome, Cognome, eMail, Residenza). Tali dati verranno sfruttati probabilmente per campagne intense di Spam, ma conclusa la procedura ovviamente non si ottiene alcun Poké Coins.

Attraverso il nostro monitoraggio di brand, nelle ultime 72h sono stati registrati un alto numero di domini attinenti:

  • 762 nuovo domini contenenti la keyword: pokemon
  • 406 nuovi domini contenenti la keyword: pokemongo
  • 59 nuovi domini contenenti la keyword: pokego
  • 32 nuovi domini contenenti la keyword: pokemons
  • 19 nuovi domini contenenti la keyword: pokemon-go
  • 7 nuovi domini contenenti la keyword: pokeball
  • 6 nuovi domini contenenti la keyword: gopokemon
  • 3 nuovi domini contenenti la keyword: getpoke
  • 1 nuovo dominio contenente la keyword: go-pokemon
  • 1 nuovo dominio contenete la keyword: pokemonsgo

Non sono state rilevate nuove registrazione a nome dei tre personaggi principali del gioco: Squirtle, Bulbasaur e Charmander.

Tra questi domini abbiamo analizzato pokemons-go.com, è stato registrato il 12 Luglio 2016 e richiede la condivisione su Facebook per ottenere il premio. In totale è stato condiviso 5220 volte, commentato 1330 volte e ha ottenuto 578 “Mi Piace”. Per un totale di 7128 interazioni sul Social Network Facebook.

Di seguito vi riportiamo gli screenshot di alcuni siti internet fraudolenti:

Questo slideshow richiede JavaScript.

 

 

 

 

 

 

 

sito phishing Creval

In data odierna abbiamo individuato un tentativo di frode  a mezzo di posta elettronica a danno dei clienti di Credito Valtellinese

20160704130047

 

Il messaggio di posta elettronica fraudolento presentava le seguenti caratteristiche:

Oggetto: Password Scaduta

Mittente: “Credito Valtellinese” <[email protected]>

Testo  del messaggio

————————————————————————

Attenzione. La tua password è scaduta, per poter completare il login, accedi  cliccando qui

————————————————————————

Il collegamento ipertestuale presente nella mail svolge una funzione di redirect che porta i visitatori a una pagina fraudolenta dove vengono richiesti i dati di login dell’account.

 

crop_1467630316

 

Dalle analisi effettuate si è rilevato, nel primo trimestre dell’anno in corso, due attacchi di phishing isolati, forse il test di funzionamento del kit impiegato per la massiccia campagna di phishing rilevata nel mese di Giugno.

I criminali autori di questi attacchi sembrano prediligere l’impiego di host posizionati nel sud est-asiatico (Indonesia e Korea).

Phishing Gruppo Hera

 

Durante l’analisi quotidiana delle attività di Phishing nazionali ed internazionali abbiamo rilevato una nuova campagna ai danni del Gruppo Hera Coom, i Phisher sfruttano il logo e il nome della società leader nei servizi ambientali, idrici ed energetici con sede a Bologna per carpire vittime con la stessa tecnica che abbiamo visto recentemente anche per il gruppo Edison.

L’utente informato mediante eMail che ha diritto ad un rimborso dal Gruppo Hera per un errato conteggio della sua fattura viene invitato a visitare un sito internet per completare la procedura di rimborso. Il sito internet fraudolento che vediamo nell’immagine di apertura richiede all’utente di digitare i suoi dati personali e i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società Bolognese. I dati inseriti nel sito fraudolento verranno sfruttati per addebitare cifre indesiderate sulle carte di credito delle vittime e non per accreditargli l’atteso rimborso.

Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.

clone phishing Banque Postale

Nella nostrà attività svolgiamo un monitoraggio costante incentrato non solo sul phishing italiano, ma anche straniero, prestando attenzione a quei paesi europei che presentano un trend di attacchi in crescita. Tra questi vi è la Francia, che vede Banque Postale come uno dei target più bersagliati dai criminali. L’esame delle casistiche non di rado porta ad individuare cloni di enti stranieri inseriti nel medesimo sito violato che ospita anche cloni di enti italiani, palesando come i criminali agiscano in maniera traversale e godano di strutture posizionate nei diversi paesi, attaccando La Banque Postale, ma anche istituti di credito italiani. Continua a leggere