Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

comunicato stampa TotalErg

Durante la notte abbiamo svolto alcune ricerche in rete in relazione all’attacco di phishing a danno di Total Erg rilevato nella serata di ieri 27 Novembre 2014, da cui è emersa l’esistenza di casi precedenti verificatisi già a fine ottobre.

Fabio Natalucci descrive in un articolo estremamente ben fatto, “Analisi di un caso di Phishing: SMS TotalErg acquisto buoni carburante“, un caso verificatosi nella seconda metà di ottobre, periodo al quale risale anche il comunicato stampa TotalErg “TotalErg nel mirino delle truffe online“.

comunicato stampa TotalErg

 

Sembrerebbe tuttavia che la campagna di phishing sia in realtà stata avviata ben prima, come suggerirebbero indicare le date rilevate nei tag aggiunti dal programma di copia usato per clonare il sito TotalErg.

 

D3Lab opera prevalentemente in ambito phishing, inserita da tempo in un network di professionisti della sicurezza informatica e dell’analisi forense, diversi dei quali collaborano come segnalatori riportando i casi rilevati con tempestività. Nonostante ciò la campagna di attacco, attiva ormai da molte settimane è stata rilevata solo ieri sera. L’utilizzo degli SMS quali veicolo dell’attacco permette ai criminali di far passare l’aggressione molto sotto traccia.

Al momento l’articolo da più parti linkato rimane quello di Natalucci. Questo evidenzia come gli attacchi sarebbero totalmente passati sotto silenzio se uno di questi casi non fosse stato riportato ad un esperto della sicurezza ICT, che rilevandone la peculiarità e pericolosità lo ha analizzato e descritto.

TotalErg, da parte sua, ha evidenziato alla clientela l’esistenza della minaccia, cogliendo il doppio risultato di tutelare i clienti con un giusto avviso e, importantissimo, di innescare con gli stessi un’interazione, come mostrato nell’immagine sottostante,  utile a tracciare il nascere di nuovi siti cloni e l’identificazione dei numeri di telefonia mobile da cui gli SMS vengono inviati.

 

post su pagina Facebbok TotalErg

 

Come per altre campagne di phishing condotte via SMS invitiamo i lettori a trasmetterci attraverso i commenti a questo articolo informazioni relative a:

  • sito web indicato nell’sms;
  • numero di telefono mittente.

Tali informazioni, una volta validate dall’amministratore del blog, diverranno pubbliche consentendo a chi deputato al contrasto ed alla’azione investigativa di seguire l’evolversi della campagna di phishing.

D3Lab ringrazia per la collaborazione.

pagina fraudolenta

Il monitoraggio svolto da D3Lab nel trimestre da poco conclusosi ha fornito dati allarmanti, evidenzianti una forte recrudescenza del phishing in ambito italiano, con i criminali che rivolgono l’attenzione ad enti target mai colpiti, o da tempo ignorati, e con caratteristiche comuni ai diversi attacchi indicanti come ad operare siano alcuni gruppi dinamici ed agguerriti.

Il monitoraggio odierno ha portato all’identificazione di un tentativo di phishing a danno dei clienti di una specifica Banca di Credito Coperativo, nello specifico la BCC Romagna Occidentale.

 La scelta dei criminali di colpire una banca specifico rappresenta una novità. In passato le Banche di Credito Cooperativo sono già state all’attenzione dei criminali che per colpirne gli utenti realizzavano phishing generici, traendo vantaggio dall’utilizzo di una template grafico comune a più istituti.

Nel trimestre appena terminato i criminali hanno condotto diversi attacchi di phishing volti a colpire gli utilizzatori delle carte di credito emesse da BCC e l’attacco odierno si differenzia anche in questo, mirando invece ad acquisire l’accesso all’home banking.

La prima pagina clone riprodotta nell’immagine sottostante e posizionata in un web server britannico, si presenta identica alla

pagina fraudolenta

pagina di login del legittimo portale di home banking della BCC Romagna Occidentale, riprodotta nell’immagine sottostante.

pagina legittima

Nel caso odierno i criminali hanno reso raggiungibile la pagina abilitando il wildcard sui domini di terzo livello del dominio saaspoint.com, all’interno del cui sito si trova, a tutti gli effetti, la pagina clone. Tale metodica consente loro di creare url univoci per ogni visitatore, vanificando le funzionalità di black list dei browser.

Effettuato il primo login il visitatore approda su una seconda pagina nella quale gli vengono chiesti due codici generati dal token OTP.

seconda pagina clone

Al termine di questo secondo passaggio l’utente viene condotto sul legittimo sito di simplybank.it, lapiattaforma di home banking in uso alla BCC Romagna Occidentale. Il criminale ha tuttavia reindirizzato l’utente sulla porta 443, dove viene visualizzata solo una pagina bianca.

La grafica della seconda pagina, dove vengono chiesti i pin otp, è comune ai recenti attacchi portati dai criminali alla piattaforma di home banking InBank, della Phoenix Informatica Bancaria, e nei confronti di Monte Paschi di Siena. Tali attacchi si contraddistinguevano da altri per l’iniziale uso di un allegato html alla mail fraudolenta, per passare poi alla visualizzazione di pagine on-line.

Nel caso odierno D3Lab non è in possesso della mail di phishing, ma la strutturazione dell’attacco non farebbe pensare all’uso di allagati. Chi ricevesse la mail di attacco a BCC Romagna Occidentale,  o a SimplyBank Web, ci farebbe cosa gradita se ce ne inviasse una copia ([email protected])

pagina clone

Troppo spesso i criminali dediti al phishing operano realizzando siti clone che traggono immagini, fogli di site e javascript direttamente dai siti legittimi degli enti attaccati.

Basterebbe poco per evitare che ciò avvenga e il phishing odierno a danno di Banca Popolare dell’Alto Adige ne è una dimostrazione.

pagina clone

come mostrato dall’immagine soprastante la pagina web realizzata dai criminali non mostra alcuna immagine.
Osservando il codice della pagina web si nota come le immagini siano tratte dal dominio legittimo di Volksbank.

codice html

se si cerca di visualizzare l’immagine da domini non appartenenti a Volksbank si ottiene un messaggio di errore indicante un probabile determinato dalla richiesta della risorsa giungendo con un referer esterno a Volksbank.

blocco immagini

Il sistema usato da Volksbank è certamente efficace sino a che il cyber criminale non decide di uploadare insieme al file htm/html anche tutti i file grafici.

La seconda pagina fraudolenta ha la funzione di catturare la griglia dei codici dispositivo usati da chi non fa uso di token otp.

seconda pagina fraudolenta

L’attacco di phishing in questione è stato portato attraverso l’uso di redirect posizionati nello spazio web di siti altrui grazie a file manager non protetti. 

file manager non protetto

Nel caso specifico il sito web francese è in uso sin dal 18 marzo per portare attacchi di phishing a danno di Banca Popolare dell’Emilia Romagna, Banca Popolare di Sondrio e oggi Volksbank.

segnalazioni di phishing

Le pagine clone sono state inserite in un secondo sito web violato facendo uso di assetmanager, un altra tipologia di file manager che è spesso possibile individuare non protetto con semplici dork.

file manager

Il foglio di stile richiamato dalla seconda pagina fraudolenta è tratto da un terzo sito, compromesso sempre facendo uso di file manager non protetto.

L’uso di redirect, assetmanager e file con nomi “standardizzati” consente di attribuire la paternità dell’attacco descritto ad un gruppo criminale identificato sin dal 2009, responsabile anche nel 2010 e 2011 di una violentissima campagna di phishing a danno di molti istituti facenti capo all’home banking di Cedacri. 

L’attenzione nuovamente riposta da tale gruppo ad istituti colpiti in passato, con la forte attività registrata nel mese di marzo, lascia ipotizzare una recrudescenza dei tentativi di frode per i prossimi mesi.

first page in tesav/ directory

Tesco is one of the biggest general merchandise retailer operating worldwide. Since several years Tesco offers phone and bank services.

Tesco Bank is one of the targets of cyber criminals, interested in capturing home banking and credit cards data.

In the Net we can find mainly one phishing kit. It’s composed by 2 folders called tesav/ and tescr/, both containig about a hundred html files, all equal, and different php files, as showed in pictures below.

 two directory in the kit

 

files in tesav/ directory

files in tesav/ directory

files in tescr/ directory

files in tescr/ directory

The two directory show to the visitors phishing pages that use two different tempaltes:

dir tesav template

dir tesav/ step 1

first page in tesav/ directory

 

dir tesav/ step 2

dir tesav/ step 2

 

dir tesav/ step 3

dir tesav/ step 3

 

dir tescr template

dir tescr/ step 1

tesco bank fraud page

 

dir tescr/ step 2

tesco bank phishing page

 

dir tescr/ step 3

tesco bank phishing page

dir tescr/ structure

phishing kit structure

 

In both cases cyber criminals ask for account access data and personal data, but only pages in tescr/ directory ask for credit card data. In all cases, after sending data in the third page, visitors go back to trusted Tesco Bank web site.

D3Lab started monitoring phishing against Tesco Bank users in the beginning of the last August, identifying 58 different kit installation. If each kit presents 200 html pages, the phisher may count on 11600 different fraud url.

Analysing phishing kit is possible determinate that stolen credentials have been sent via mail to criminals .

php file written to send stolen credentials via mail

 

D3Lab identified ten different email addresses (gmail.com, aol.co.uk, hotmail.co.uk, bluemail.com, mail.mn) used by criminals, that could be operating at least in two or three different teams.

Luckily Tesco Bank seems to be very attentive about the on-line fraud problem, in it’s web site it presents several pages about phishing, fraud and how to operate in case them occur:

Guard against phishing;

How to identify a genuine Tesco Bank email;

How Fraud occurs;

How we protect you;

Security and fraud.

Update 2016/11/08 (three years late):

phishing against Tesco Bank users, D3Lab monitoring
tesco bank phishing