Importante aggiornamento relativo ai casi di phishing TIM precedentemente trattati:
Lo scorso 29 Settembre avevamo pubblicato un post in cui evidenziavamo come per i phisher fosse possibile recuperare la frase segreta del Visa/Mastercard “secure code” (link).
I rilievi descritti nel post erano stati eseguiti proprio esaminando un tentativo di phishing ad opera dello stesso team criminale autore dei due casi descritti poc’anzi (link1 link2). L’esame svolto all’epoca evidenziò come la metodica di recupero della frase segreta fosse funzionante, ma non ancora implementata nel normale funzionamento del kit di phishing.
Poco fa eravamo impegnati nello svolgimento di ulteriori accertamenti finalizzati a comprendere il funzionamento dei kit. Questi test vengono svolti inserendo credenziali formalmente valide (nome, cognome, codice fiscali, numero di carta di credito valido secondo l’algoritmo di Luhn, cvv, ecc…) ma assolutamente inventate, o generate da script, come nel caso dei numeri di carta di credito.
In tal modo, anche se il caso ci portasse ad usare un numero di carta di credito realmente emessa, la combinazione di nome/cognome titolare, scadenza e cvv assolutamente casuali ne renderebbe l’uso fraudolento impossibile.
La sorpresa è giunta quando, inseriti i dati richiesti dalla pagina fraudolenta, è stata visualizzata una pagina web, con logo dell’ente emittente la carta di credito, in cui veniva richiesta la password del Visa/Mastercard secure code, ma …che riportava anche la “frase di benvenuto segreta” del “secure code”!
Evidentemente si era verificato “il fato” ed il numero di carta usato per il test (abbinato a restanti dati assolutamente casuali e per tanto inutilizzabile) apparteneva ad una carta di credito esistente e il kit creato dai criminali è stato in grado di recuperare la frase identificativa segreta del Visa/Mastercard secure code.
La metodica, come scritto a settembre 2014, era stata sviluppata dai criminali, ma non ancora implementata. Ora invece lo è, con tutto ciò che ne consegue.