Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

Phishing prevenzione: Riconoscimento e identificazione

Phishing prevenzione: Riconoscimento e identificazione

Ha preso il via nella giornata di ieri l’attività formativa D3Lab in tema di phishing.

Il corso “Phishing prevenzione: Riconoscimento e identificazione” mira ad illustrare caratteristiche, natura, pericolosità di questa tipologia di minaccia non volgendo la propria attenzione unicamente all’utenza customers, ma illustrando i rischi connessi alle aziende, i possibili conseguente attacchi “man in the mail”, il furto di dati e progetti aziendali e lo spear phishig.

about spear phishing

La lezione, della durata variabile da 2 ore e mezzo a 4 ore, dipendentemente dall’interazione con la classe, ha come target personale generico, risultando idonea a far conoscere la minaccia phishing a personale amministrativo, uffici di segretaria e quadri (i più colpiti dallo spear phishing).

phishing WhatApp

La presentazione risulta particolarmente utile per il personale di call center e di filiale che per primo si trova ad interloquire con il cliente ed identificando la minaccia descritta dall’utente customer può raccogliere i dati rilevanti che trasmessi agli assenti anti-frode e sicurezza consentono l’attivazione delle idonee azioni di contrasto.

procedura raccolta dati dal cliente per call center e filiali

Le società interessate possono contattarci per offerte mirate ai riferimenti indicati nella pagina “contatti“.

phising-scam-paypal

Nella nostra attività di monitoraggio e contrasto al Phishing abbiamo rilevato nel primo trimestre dell’anno una vasta campagna di Phishing ai danni di PayPal con la registrazione di multipli domini creati ad-hoc come i seguenti dei quali alcuni con valido certificato SSL:

  • http://account-resolved-noticed.com
  • http://confirmation-securley.com
  • http://incpaypallimit.com
  • http://overview-account.com
  • http://peypal-secure-account.ml
  • http://resolved-access.com
  • http://settingpaypal.com
  • http://spoof-verifications.com
  • http://update.pay-pal.cash
  • http://verification-sign.in
  • http://www-paypal-com-apps.party
  • http://www.paypal-365.biz
  • http://www.paypal-365.com
  • http://www.paypal-365.info
  • http://www.paypal-365.online
  • http://www.paypall.com
  • https://cgi-servicescenter.com/
  • https://resolve-verify.com
  • https://validation-customer.org
  • https://ww.vv-paypal.com
  • https://www.payapl-billing.com
  • https://www.validation.reviews

PayPal è da sempre un obiettivo primario per i Phisher ma i recenti cloni hanno attratto la nostra attenzione per l’importante precisione e cura con cui sono stati realizzati. Rispecchiano a 360 gradi il sito ufficiale, adattando la grafica e la lingua in base alla provenienza del navigatore. Ma ad attirare ancor di più la nostra attenzione è stata la tempestività con cui adattavano il design/layout del kit rispetto al sito originale, con sempre le dovute variazioni geografiche. Abbiamo quindi deciso di analizzare e approfondire le tecniche utilizzate in questo Kit recuperato su un server compromesso avente il Directory Listing di Apache abilitato.

Le seguenti tre immagini rappresentano a sinistra il sito ufficiale di PayPal e a destra quello generato dal kit in base alla lingua di navigazione dell’utente, usualmente il Phisher crea diversi Kit in base al target linguistico degli utenti ma in questo caso il kit risulta unico, anche l’indirizzo web, e il codice adatta l’interfaccia grafica in maniera completamente automatica. Per ottenere questo risultato il codice PHP sviluppato identifica inizialmente la geolocalizzazione dell’utente ed in base ad essa effettua uno Web scraping (salvataggio di una pagina web) del sito originale di PayPal selezionando la corretta lingua, l’output verrà poi editato per adattare l’invio delle credenziali al Phisher e non a PayPal.

 

PayPal_RUS_Web

L’interfaccia del sito originale e del clone in lingua Russa

PayPal_FR_Web

L’interfaccia del sito originale e del clone in lingua Francesce

PayPal_IT_Web

L’interfaccia del sito originale e del clone in lingua Italiana

 

Analizzando il Kit abbiamo potuto osservare le seguenti caratteristiche:

  • Identificazione dell’user agent del visitatore e relativo re-indirizzamento al clone dedicato (Desktop o Mobile);
  • Generazione random di un nuova path web ad ogni accesso per limitare la funzionalità delle blacklist (PhishTank, ecc);
  • Geolocalizzazione mediante IP;
  • Blocco di accesso ad utenti e boot prestabiliti (Google Bot, Utenti Tor, Trendmicro, PayPal, ecc);
  • Download in tempo reale del sito ufficiale;
  • Sostituzione di stringe dal sito originale per permettere il salvataggio delle credenziali;
  • Validazione delle credenziali dell’utente (solo se vengono digitate corrette credenziali viene richiesta la conferma della carta di credito del cliente);
  • Salvataggio delle credenziali dell’utente (eMail, password, Nome, Cognome, Carta di Credito, ecc) in un file di testo e contestuale invio a mezzo email al Phisher.

La generazione di una nuova path per ogni accesso è affidata alla seguente porzione di codice, all’accesso viene generato un numero casuale compreso tra 0 e 100000 concatenato all’IP del visitatore e successivamente generato l’HASH MD5 di tale stringa:


$random = rand(0,100000).$_SERVER['REMOTE_ADDR'];
$dst = substr(md5($random), 0, 5);

La geolocalizzazione viene eseguita sfruttando le API pubbliche di Geoplugin.net:

$ip          = $_SERVER['REMOTE_ADDR'];
$details     = simplexml_load_file("http://www.geoplugin.net/xml.gp?ip=".$ip."");
$negara      = $details->geoplugin_countryCode;
$nama_negara = $details->geoplugin_countryName;
$kode_negara = strtolower($negara);

Per bloccare gli utenti viene analizzato l’hostname del navigatore o l’indirizzo IP:

$hostname = gethostbyaddr($_SERVER['REMOTE_ADDR']);
$bannedIP = array("^81.161.59.*", "^66.135.200.*", "^66.102.*.*", ecc ecc)
$blocked_words = array("above","google","softlayer","amazonaws","cyveillance","phishtank","dreamhost","netpilot","calyxinstitute","tor-exit", "msnbot","p3pwgdsn","netcraft","trendmicro", "ebay", "paypal", "torservers", "messagelabs", "sucuri.net", "crawler");

La seguente porzione di codice sfrutta la funzione file_get_contents() di PHP per eseguire uno Web Scraping del sito ufficiale di PayPal ed adattarlo alle necessità del Phisher


$url         = "https://www.paypal.com/{$codecountry}/webapps/mpp/home";
$options     = array(
    'http' => array(
        'method' = "GET",
        'header' = "User-Agent: " . $_SERVER['HTTP_USER_AGENT'] . ""
    )
);
$originalcodemoreart     = stream_context_create($options);
$natija = file_get_contents($url, false, $originalcodemoreart);
...
...
$chof = str_replace($jibsafha . "cgi-bin/signin", $loging, $chof);
$chof = str_replace($get_form, '

<form action="signin" method="post" ', $chof);
...
...

Porzione di codice che ha il compito di verificare, mediante il sito ufficiale di PayPal, se le credenziali digitate sono corrette:


$loggedIn = curl("https://www.paypal.com/webscr?cmd=_account&nav=0.0");
if ($title == "Security Measures - PayPal") {
} elseif (stripos($loggedIn, 'PayPal balance') !== false || stripos($loggedIn, 'Log Out</a>') !== false) {

L’analisi delle evidenze nel codice e nei commenti del Kit ci ha permesso di identificare il nickname del Phisher, probabilmente di provenienza Araba, e la sua pagina su Facebook. Pagina con oltre 2mila like, la quale viene sfruttata per diffondere nuove versioni del Kit e fornire suggerimenti ai Phisher novelli.

Sfogliando la sua breve galleria fotografica troviamo un bozzetto su carta della grafica di una pagina da clonare, questa immagine ci conferma l’importanza e la precisione che contraddistingue questo Phisher nei suoi progetti.

 

Phisher Facebook

 

Infine il Phisher ha un canale ufficiale su YouTube dove ha pubblicato una video guida sul funzionamento del Kit e le istruzioni per configurare il corretto invio delle credenziali all’eMail desiderata.

PayPal_Phishing_YouTube

 

Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e creazione, sfrutta nuove tecniche dell’Ingegneria Sociale per carpire le sue vittime e nuovi approcci di programmazione per risultare sempre più similare al target preso di mira.

Edison Phishing

In data odierna nelle nostre quotidiane attività di ricerca e contrasto al Phishing abbiamo individuato l’utilizzo fraudolento dei loghi e del nome di un nuovo ente, Edison spa, ai danni degli utenti.

L’utente riceve una finta comunicazione con i loghi dell’azienda Edison dove viene informato che gli spetta un rimborso per un errato conteggio della sua fattura, viene invitato a visitare un sito internet dove dopo aver digitato i suoi dati personali (Nome, Cognome, Codice Fiscale, Data di Nascita, Residenza, Cellulare ed eMail) viene reindirizzato in una nuova pagina dove poter scegliere 4 Istituti Bancari a sua scelta, una volta selezionata la Banca per completare la falsa procedura di rimborso dovrà inserire i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società energetica.

Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.

mail fraudolenta

Negli ultimi mesi il phishing a danno di clienti Intesa SanPaolo si è molto intensificato. Le metodiche con cui è realizzato sono diverse e spesso queste metodiche, rimanendo costanti nel tempo, permettono di identificare i diversi team criminali.

mail fraudolenta

Risulta interessante esaminare alcune metodiche di realizzazione e per fare ciò partiamo da una serie di url di attacco rilevati nella giornata del 10 marzo 2016:

http://ikf65y8x.triviashootout.com/
http://iek1.scooteraz.com/ek1.png
http://i9j1vsd6x6tpf5.scooteraz.com/
http://iq.sayili.com.tr/
http://i0s2uf5t2n6cl.marisas-ristorante.com/
http://iyi2qodn17.limofind.com/yi2qodn17
http://i4nspxbe.limofind.com/
http://droon99.com/
http://iuo1ldzcegy88hj.berketadilat.com/
http://iy.my-payroll-place.com/
http://iri.mockhoago.net/
http://i3jkd.pcfp.com/
http://i4savz008ar6d.triviashootout.com/
http://droon99.com/
http://droon99.com/
http://droon99.com/
http://www.droon99.com/
http://droon99.com/
http://iu.hollyf5yoursenses.com/
http://sic3x.marisas-ristorante.com/
http://is1n.nsdrc.net/
http://ik.turkeycampout.org/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iys60jzfyy58fp3.ecticon2015.org/
http://sicio3fi41pwy.marisas-ristorante.com/
http://sicjsaay2e7unx.marisastrumbull.com/
http://i.turkeycampout.org/
http://ii2e0lm47i4c8.marisasbrunch.com/
http://i6pqrh5pk.sayilipetrol.com/
http://sicgc.marisastrumbull.com/
http://i04qsijkcg11w5d.wyseonline.com/
http://ii.mutfakdolabisitesi.com/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iww.oto67.com/
http://i61.oto67.com/
http://igpmjqs37vcr.efe-mantolama-tadilat.com/
http://i.dnaland.com/
http://icrgr43kg8.mutfakdolaplarifiyat.com/
http://ii.mutfakdolabisitesi.com/
http://id6hr1nqlm800.sayili.com.tr/
http://ifos4da0.oto67.com/
http://i9s8n50wv5ay.mutfakdolaplarifiyat.com/
http://i01e1c3cg8.mercedesbenz-vietnamstar.com/
http://itbhrm.nsdrc.net/
http://idmfs7jp0d8u0.nsdrc.net/
http://sicsljvky0.limofind.com/
http://ib7jwgdt0ny2rnx.nsdrc.net/
http://ib29u.nsdrc.net/
http://i9imt0k4d41sp.nsdrc.net/
http://i3y258786zx.nsdrc.net/
http://sicwu.limofind.com/
http://idanh9wa.nsdrc.net/
http://i6dlvccs.nsdrc.net/
http://i7vrxkvf5c.marisasrestaurant.com/
http://ik78rolgbfre0lx.mr3webdesign.com/
http://iafuojkm2xn.diamondpfs.com/
http://iv0yn.randrpartnershipinc.com/
http://i6r1x5ocz6o9nfm.blusky.us/
http://link.randrpartnershipinc.com/
http://ip.turkeycampout.org/
http://sicreyxt8.pjsconstruct.com/
http://icrdru0c68f2m4n.dnaland.com/
http://iu2wt4e5wi9.dnaland.com/
http://sicfbt5rr.pjsconstruct.com/scriptlogin
http://ib8houa2z4luco9.turkeycampout.org/
http://iuxtvx84b7o.phoenixhealthcarenow.com/
http://sic1wl6mm1g.randrpartnershipinc.com/
http://i6u0kgd.travcomm.com/
http://link88dex6l8q2n.mr3webdesign.com/
http://linkhzxuulwl6.glenbelushcpa.com/
http://iy1n6z3vswf5952d.phoenixhealthcarenow.com/
http://iwetnbamjchfqoy.click-epti.com/
http://i07e7nc8.indianaaudubon.org/
http://link.marisasristorante.com/
http://linktwsb6vqgjipee3.gaelectricco.info/
http://imvy.nptsampharn-dol.go.th/
http://linknnn4xx.pjsconstruct.com/
http://io0yld7.caosukythuat.net/
http://linke7iu93g557hjhq0.mr3-web.com/
http://sicmkfnu4a6j2di.marisasristorante.com/
http://i9nfk1v4md71.turkeycampout.org/
http://sic8zy.jglandscapingllc.com/
http://ip.travcomm.com/
http://www.droon99.com/
http://iocknfn5.caosukythuat.net/
http://sicmiwydzhkhd2h.marisas-ristorante.com/
http://izu56c.caosukythuat.com/
http://iuo6nakm1y.it-cpr.com/
http://linkp7cfvjjnf3w.randrpartnershipinc.com/
http://sicssw.glenbelushcpa.com/
http://ifyy8u96jf3we9n.travcomm.com/
http://sic1ok.triviashootout.com/
http://ig6xvav2d.caosukythuat.net/
http://siclqz77jpjozlan5.marisas-ristorante.com/
http://ibgnx6.ga-service.com/
http://ircxny75.blusky.us/
http://ix6.caosukythuat.net/
http://itossyv.bismconsulting.com/

Nella barra del browser gli url in questione sono solitamente seguiti da parametri quali “email” ed “id” riportanti indirizzi mail di chi ha ricevuto i messaggi fraudolenti e stringhe alfanumeriche,
http://i7i.mr3-web.com/7i?id=58C6C85C8D25BB64077F7AD88C314B0A&[email protected]&

nonché path (directory e file) usualmente fittizi e gestiti attraverso le policy di rewrite di htaccess.

I parametri quali email ed id potrebbero in realtà permettere ai criminali di verificare gli indirizzi mail reali e di evitare visitatori indesiderati (…visualizzi la pagina solo se eri tra i destinatari della mail…) in realtà tale approccio non risulta usato dall’esame dei kit di phishing sino ad ora recuperati.

Gli url di attacco sopra riportati fanno in realtà riferimento ad un unico clone riproducente grafica e loghi di Intesa San Paolo

pagina clone

(NOTA BENE: Google safe brrowsing evidenzia in rosso che il form verrà trasmesso senza fare uso di https)

posizionato su un server dedicato  (198.12.67.179 ) su cui risiede il dominio DROON99.COM registrato nel 2013:

Domain Name: DROON99.COM
Registrar: GODADDY.COM, LLC
Sponsoring Registrar IANA ID: 146
Whois Server: whois.godaddy.com
Referral URL: http://www.godaddy.com
Name Server: NS75.DOMAINCONTROL.COM
Name Server: NS76.DOMAINCONTROL.COM
Status: ok https://www.icann.org/epp#OK
Updated Date: 13-may-2015
Creation Date: 17-mar-2013
Expiration Date: 17-mar-2017

Lo spazio web di tale dominio presentava qualche tipo di contenuti almeno sino al maggio 2014

contenuti di droon99.com al maggio 2014

successivamente e fino al 5 marzo 2016 si poteva vedere la pagina di default di Apache server su Ubuntu

home page droon99.com al 5 marzo 2016

 

I criminali dopo aver avuto accesso allo spazio web del dominio DROON99.COM ed aver posizionato in esso il clone, hanno violato almeno altri 18 domini

  • triviashootout.com
  • scooteraz.com
  • sayili.com.tr
  • marisas-ristorante.com
  • limofind.com
  • droon99.com
  • berketadilat.com
  • my-payroll-place.com
  • mockhoago.net
  • pcfp.com
  • hollyf5yoursenses.com
  • nsdrc.net
  • turkeycampout.org
  • mutfakdolabisitesi.com
  • ecticon2015.org
  • marisastrumbull.com
  • marisasbrunch.com
  • sayilipetrol.com

posizionati su 7 diversi server in 4 diverse nazioni

  • 65.60.23.41 USA
  • 70.34.35.58 USA
  • 74.54.19.66 USA
  • 198.12.67.179 USA
  • 46.235.8.126 Turkey
  • 112.78.1.28 VietNam
  • 112.121.151.155 Thailand

e accedendo ai pannelli di gestione di questi hanno abilitato il wild card per i domini di livello inferiore e puntando
qualsiasi-stringa.unodei18dominibucati.tld
sul server dedicato con ip 198.12.67.179 contenente DROON99.COM.

 

Tale metodica di attacco offre al criminale diversi vantaggi:

1- creazione di illimitati url di attacco, limitando l’efficacia dei meccanismi di black listing

2- creazione di nomi dominio particolarmente lunghi, che nella barra degli indirizzi di dispositivi smartphone di ridotte dimensioni potrebbero essere visualizzati solo in parte, es:
bancaintesa.sanpaolo.com-areapersonale.login.sayilipetrol.com
ottenendo la visualizzazione solo di parte ingannevole dell’url, come nell’immagine sottostante

visualizzazione fake url su smartphone

 

3- rendere complessa l’azione di take down, diventando necessario non solo contattare i referenti di DROON99.COM, ma anche quelli di tutti i domini usati per i fake url, spiegando loro che le pagine di phishing non sono nei loro siti, ma che il loro pannello di gestione domini è comunque stato (presumibilmente) violato.

 

Tornando ai fatti: ma cosa interessava ai criminali?

Esaminando il clone si rileva la richiesta sia dei dati di login, che di otp e carta di credito.

pagina clone cattura dati carta di credito

 

Nel caso specifico, in base all’esperienza maturata, sembrerebbe probabile che i criminali mirino unicamente ai dati di carta di credito.

L’uso del token OTP non rappresenta per i criminali un problema insormontabile: l’uso di console di monitoraggio (come raccontato nel post “Phishing con operatore per aggirare i token otp“) permette loro di interagire con la vittima, sfruttando le credenziali ricevute

console di monitoraggio del phisher

 

praticamente in tempo reale, consentendo loro di ordinare pagamenti con estrema abilità e velocità.

Tra l’altro uno di questi casi è attivo proprio in questi giorni sempre ai danni di Intesa San Paolo.

Quindi, per concludere: è errato considerare il phishing una minaccia ridicola, sia per le sue potenzialità, sia per le metodiche con cui viene attuato.

mail fraudolenta

Nella giornata di ieri è stato registrato un massiccio invio di mail di phishing a danno degli utenti WhatsApp.

il messaggio di posta fraudolento, partito da un host statunitense, presenta le seguenti caratteristiche:

 

mail fraudolenta

 

Oggetto: Il tuo WhatsApp Messenger è scaduto

Mittente: “WhatsApp Messenger” <[email protected]>

testo del messaggio:

————————————————————————–

Attenzione! Il tuo account WhatsApp Messenger e scaduto

La registrazione non e stata rinnovata scade entro 24 ore, per rinnovare il tuo WhatsApp Messenger 0,99 euro, grazie a seguire il link di rinnovo

Rinnova il tuo WhatsApp Messenger

Si prega di rinnovare il piu presto possibile per evitare la perdita di tutti i media (immagini, video, storico …)

servizi commerciali

2016 whatsapp.com All rights reserved.

————————————————————————–

 

la dicitura “Rinnova il tuo WhatsApp Messenger” nasconde il link all’url: hxxp://whatsapp-rinnovo.com/Clicca.php.

Il dominio whatsapp-rinnovo.com risulta essere stato registrato nei giorni scorsi attraverso il provider francese OVH
Domain Name: whatsapp-rinnovo.com
Registry Domain ID: 2004558108_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.ovh.com
Registrar URL: http://www.ovh.com
Updated Date: 2016-02-19T21:54:11.0Z
Creation Date: 2016-02-19T21:48:12.0Z
ed essere in hosting presso altro provider francese frequentemente utilizzato dai cyber criminali per la pubblicazione di siti/domini ad uso fraudolento.

 

Il collegamento ipertestuale presente nella mail svolge funzione di redirect portando i visitatori su pagine clone inoculate all’interno di un sito web compromesso.

pagine clone

 

per ogni visitatore viene creata una directory con nome random (usualmente l’hash md5 dell’istante temporale) all’interno del quale viene copiato il kit di phishing, sistema spesso impiegato per cercare di eludere i meccanismi di balck listing basati su url completo.

Le pagine clone richiedono l’inserimento dei dati di carta di credito.

messaggio di posta fraudolento

Nel pomeriggio odierno è stato individuato un messaggio di posta elettronica fraudolento ai danni dei clienti di Banca Intesa, finalizzato a veicolare il tentativo di frode attraverso una comunicazione telefonica.

 messaggio di posta fraudolento

 

Il messaggio di posta fraudolento, che sembrerebbe partito da un indirizzo ip del Belize, per transitare poi su un server di posta statunitense, presenta le seguenti caratteristiche:

 

 

Mittente: “Intesa Sanpaolo” <[email protected]> 

Oggetto: [ 0564 ] – Messaggio urgente 

Testo messaggio:

———————————————————————————————————–

Gentile cliente,     
X-ME-Bayesian: 0.005190

Il tuo è stata sospesa a causa di qualche pagamenti effettuati all’estero.   

Si prega di fara una chiamata per registrarsi e per sbloccare il tuo profilo.     

Per riattivare fare una chiamata a numero +(39) 087 226 0028.                      

Intesa Sanpaolo, Italia – 2016
Numero di telefono: +(39) 087 226 0028

———————————————————————————————————–

 

e, con qualche errore, invita gli utenti a comporre un numero di telefono con prefisso di Lanciano per sbloccare il proprio profilo[account] di internet banking.

Componendo il numero di telefono si viene dapprima accolti da un messaggio automatico, presumibilmente una registrazione degli effettivi messaggio dell’istituto bancario, che con voce femminile ci informa che la nostra telefonata potrebbe essere registrata.

Successivamente subentrano le indicazioni automatiche di una voce maschile che, con tono professionale ma in un italiano scorretto, chiede di digitare le credenziali di accesso all’account di internet banking e i codici OTP generati dal dispositivo dedicato.

Chi lo desidera può ascoltare la registrazione della telefonata qui (file audio amr).

Non si tratta comunque di un caso isolato, vedasi la campagna a danno di Poste Italiane verificatasi nell’autunno 2013

andamento phishing 2015

Nell’anno ormai al termine i criminali hanno posto la loro attenzione su enti precedentemente poco o per nulla colpiti dal phishig, come Veneto Banca e Banca delle Marche.

Nel caso degli enti citati ci si può ritenere fortunati che i criminali non abbiano confezionato le mail di attacco facendo leva sulle problematiche ormai note a tutti di tali istituti. Si può immaginare con facilità quale sarebbe stato il grado di allerta ed ansia provocato da false comunicazione che, paventando l’utilizzo dei conti correnti dei risparmiatori per ripianare i debiti degli istituti, avessero veicolato gli utenti verso pagine di phishing.

andamento phishing 2015

 

In altri casi i phisher sono tornati a colpire istituti di credito non aggrediti da diversi anni. Si è in definitiva assistito ad un anno  in cui a fronte di un netto calo dei tentativi di phishing si è avuto un incremento degli attacchi ad enti non bancari, in particolare gli operatori di telefonia mobile ed Apple, ed una migrazione da target ormai classici (Poste Italiane, PayPal, ecc…) verso target meno soggetti al fenomeno, i cui clienti ed utenti presentano quindi una minor scaltrezza e conoscenza della minaccia.

Si inserisce in tale contesto il tentativo di phishing rilevato nella serata di ieri a danno dei clienti dell’istituto di credito Banca Agricola Popolare di Ragusa:

messaggio di posta fraudolento

Il messaggio di posta fraudolento presenta le seguenti caratteristiche:

Mittente apparente: <[email protected]>
Oggetto: EQUITALIA

testo:

————————————————————————————

EQUITALIA

Cartella esattoriale nr 96263/12 procedimento amministrativo sanzonatorio del 24/06/2012.

Qualora non abbia gia provveduto al pagamento la preghiamo di accedi la raccomandata nella sezione di sito autorizzato Banca Agricola Popolare di Ragusa.

ACCEDI DOCUMENTO

La ringrazioamo per la collaborazione.

Distinti saluti ,

EQUITALIA

————————————————————————————

 

Il link celato dalla dicitura “ACCEDI DOCUMENTO” porta ad una pagina php, che insieme ad altre 299 inserite in un sito web UK violato, ha la funzione di redirect e conduce i visitatori alle pagine clone inserite in un sito web romeno, dove all’utente sono richiesti i dati di login.

prima pagina clone

 

nella pagina successiva viene richiesto all‘utente di inserire il proprio numero di cellulare.

 

seconda pagina fraudolenta

 

La mancata richiesta di ulteriori dati via web lascia ipotizzare che i criminali, dopo aver effettuato il login con i dati acquisiti e verificato l’effettivo ammontare di quanto presente sul conto, possano procedere perfezionando la frode via telefono, sfruttando i dati acquisiti dalle pagine del cliente.

 

 

mail fraudolenta

Inbiz è una piattaforma che Intesa SanPaolo ha realizzato affinché aziende, istituzioni finanziarie ed amministrazioni pubbliche possano gestire le proprie attività finanziarie, contabili e amministrative in modo accentrato, attraverso un unico strumento.

Ed è proprio questa piattaforma ad essere oggi stata presa di mira da un’entità criminale piuttosto eclettica, che nelle ultime settimane ha realizzato molti tentativi di phishing a danno degli utenti Apple ed anche di Intesa SanPaolo, Unicredit e Gruppo Hera.

La mail di attacco individuata presenta le seguenti caratteristiche:

 

mittente apparente:

Inbiz <[email protected]>

Inbiz <[email protected]>

Inbiz <[email protected]>

oggetto: Messaggio interno!

corpo del messaggio:

 ————————————————————-

Caro Clienti Inbiz,

 

Hai ricevuto un nuovo messaggio interno.

Clicca per leggere

————————————————————–

mail fraudolenta

 

Il link “Clicca” nasconde il collegamento all’url fraudolento mostrato nello screenshot sottostante, facente capo ad un sito web

 

pagina web fraudolenta

 

posizionato in un server statunitense

ip:54.212.252.185
asn:AS16509
city:Boardman
latitude:45.8399
country_code:US
offset:-7
country:United States
isp:Amazon.com Inc.
timezone:America\/Los_Angeles
region:Oregon
postal_code:97818
country_code3:USA

 

E’ opportuno notare che la pagina clone è stata inserita in un sito web violato dotato di certificato SSL valido, per cui si può osservare l’indicazione verde HTTPS, che da sola si dimostra non essere più un parametro di riferimento per valutare l’affidabilità della pagina web in cui si inseriscono le credenziali, ma che mantiene invece un elevato potere di inganno in assenza di ulteriori verifiche, quali il corretto nome dominio.

Questo fatto non è una casualità, rappresentando una della caratteristiche distintive di questo gruppo criminale, da D3Lab soprannominato Rocket Team. 
Rocket Team è stato recentemente (la scorsa settimana) autore di un attacco di phishing a danno degli utenti del società fornitrice di energia Gruppo Hera, società che attacco già nel dicembre 2012 e nei primi mesi del 2013, quando per altro si dedicava anche a colpire SKAT, ente di riscossione tributi danese.
Nel 2014 il Team colpì duramente gli utenti di servizi e dispositivi Apple, per poi far perdere le proprie tracce per tutta la prima metà del 2015. Dallo scorso agosto questo gruppo criminale è tornato ad operare nell’ambito italiano, cercando di catturare le carte di credito degli utenti Apple e dei clienti Intesa SanPaolo e, come abbiamo già detto, del Gruppo Hera.

Nelle ultime settimane Rocket Team ha mostrato un cambio di strategia mirando alle credenziali dei servizi di internet banking degli utenti Unicredit, strategia che evidentemente gli sta portando degli introiti se ora decide di mirare al medesimo tipo di dati degli utenti del servizio Inbiz di Intesa.

L’esame degli headers della mail evidenzia l’invio da host statunitensi facendo uso dello script x.php eseguito dall’utente www-data, il web server.

particolare headers

 

 

 

mail fraudolenta

I criminali tornano a colpire gli utenti Telepass a distanza di oltre tre anni (15/06/2012, 22/06/2012).

Nella giornata odierna è pervenuta nella mail box la seguente mail:

Oggetto: ТЕԼЕРАЅЅ FАМІԼҮ

Mittente apparente: “[email protected]” <[email protected]>

Testo del messaggio:

Salve [email protected],

TELEPASS FAMILY ti premia con 90 giorni gratuiti.

Novit�: per 90 giorni puoi viaggiare gratis, basta cliccare sul link promozione in basso e verificare la tua identit�.

Una volta ricevuta l’autorizzazione dalla tua Banca provvederemo ad inviare il codice sul tuo estratto conto col quale ti dovrai recare al primo PUNTO BLU e riscattare i tuoi 90 giorni gratuiti in Autostrade Italia

Prosegui con la verifica!

 

mail fraudolenta

 

 

Come si può notare dall’immagine soprastante riproducente la mail, il messaggio è scritto in italiano corretto, mentre balzano agli occhi i caratteri accettati non correttamente codificati.

La dicitura “Prosegui con la verifica!” nasconde il collegamento ipertestuale alle pagine fraudolente. Nella prima vengono richiesti i dati 

prima pagina fraudolenta

 

della carta di credito (numero, scadenza e cvv), nella seconda pagina viene richiesto il securo code Visa/Mastercard.

seconda pagina fraudolenta

 

L’attacco di phishing in questione è ad opera di un gruppo criminale particolarmente agguerrito, operante principalmente a danno degli operatori di telefonia mobile.

A conferma di ciò all’interno del sito web compromesso impiegato per pubblicare il clone Telepass è stato individuato anche un clone a danno dei clienti H3G.

pagina clone H3G

andamento phishing rilevato da D3Lab

Sebbene a livello statistico vi sia stato un calo del phishing rilevato da D3Lab, si deve registrare tuttavia un persistere dell’ignoranza 

andamento phishing rilevato da D3Lab

 

degli utenti relativamente alla minaccia. La studio realizzato da Intel Security che ha evidenziato come il 93% degli internauti non sia in grado di riconoscere correttamente un tentativo di phishing palesa quelle che sono le possibilità dei criminali di colpire con efficacia.

 

Sebbene un calo del phishing vi sia stato ed in particolare in relazione all’internet banking, dove l’adozione di sistemi di autenticazione forte  hanno reso più complesso per i criminali sfruttare i dati carpiti, si è osservato un forte incremento degli attacchi miranti alla cattura dei dati di carta di credito. 

recupero credenziali

 

Il semestre appena conclusosi evidenzia come criminali si stiano sempre più orientando a colpire target non bancari, quanto piuttosto legati al mondo dei servizi per la massa, come evidenziato dai record recuperati a seguito di casi di phishing.

I criminali riservano particolare attenzione al mondo della telefonia mobile, dove le funzionalità di ricarica on-line si prestano particolarmente bene per le frodi. 

Nei mesi scorsi si è assistito ad una forte campagna a danno di TIM, realizzata con l’invio di SMS contenenti il link a pagine di phishing. Ora il medesimo gruppo criminale, autore già della lunga campagna a danno di TotalErg e precedentemente di Carrefour (entrambe via SMS), sembra stare postando la propria attenzione sugli utenti Vodafone.

Nei giorni scorsi si sono registrati già tre casi con pagine clone inserite nello spazio web di domini aventi nomi registrati ad hoc al fine potenziare la capacità di inganno, i cui link sono stati diffusi via sms:

  • vodafoneofferte.com
  • vodafoneclub.info (ancora attivo)
  • vodaonline.info(ancora attivo) 

 

pagina clone

 

Le pagine clone risultano raggiungibili anche da rete Vodafone.

All’epoca (dicembre 2013, gennaio 2014) della prima consistente campagna di phishing condotta a danno di Carrefour via sms,  D3Lab riuscì a restituire una puntuale e tempestiva informazione agli utenti grazie a numerosi commenti di segnalazione, pratica che sfortunatamente non ha avuto il medesimo successo in relazione alle campagne a danno di TotalErg e TIM.

Sebbene i social netowrk consentano una ampia diffusione delle informazioni, sfortunatamente la loro indicizzazione da parte dei motori di ricerca non risulta sempre efficace e parte delle informazioni non raggiungono la massa venendo confinate nei circoli chiusi di contatti o di specifiche aree tematiche a causa degli hashtag.

Al fine di permettere una tempestiva azione di contrasto da parte degli enti target si consiglia di segnalare link ed sms su pagine ed account ufficiali di società e servizi.

 

Update 24/07/2015 10:55:

domini usati dal 13/07/2015:

  • vodafoneofferte.com
  • vodafoneclub.info
  • vodaonline.info
  • vodaclub.info
  • vodashop.info
  • promozioneoffertainfinita.com
  • thepromo365.com
  • ultimataofferta365.com
  • vodashopestate.com

 

Update 30/07/2015 15:48:

domini usati:

  • windsuper.mobi 
  • vodafon.estate
  • vodafon.gratis

 

Update 17/09/2015 09:04:

domini usati:

  • ricarica-vodafone.ddnsking.com
  • vodafone-estate.ddnsking.com
  • vodafon.gratis
  • ricarica-vodafone.com
  • vodafoneclub.net
  • offerta-vdf-illimitata-promo.com
  • vodafonegratis.com
  • offertairripetibile-vdf.com
  • offerta-vdf-illimitata-promo.com
  • vodafoneclub.club
  • clientiprivatinuovapromoweb.com

 

Update 25/09/2015 11:02:

domini usati:

  • promozionevodafoneprivati.net
  • vodafoneclub.it
  • clientipromowebsvoda.com

 

Update 06/10/2015 14:43:

domini usati:

  • clientinuovapromo25voda.com
  • vodafoneclub.org
  • vodafoneclub.gratis
  • clientiprivatinew.com
  • clientinuovinewvoda.com
  • vodafone1.it
  • vodafoneclubnetwork.com