Durante la notte abbiamo svolto alcune ricerche in rete in relazione all’attacco di phishing a danno di Total Erg rilevato nella serata di ieri 27 Novembre 2014, da cui è emersa l’esistenza di casi precedenti verificatisi già a fine ottobre.
Fabio Natalucci descrive in un articolo estremamente ben fatto, “Analisi di un caso di Phishing: SMS TotalErg acquisto buoni carburante“, un caso verificatosi nella seconda metà di ottobre, periodo al quale risale anche il comunicato stampa TotalErg “TotalErg nel mirino delle truffe online“.
Sembrerebbe tuttavia che la campagna di phishing sia in realtà stata avviata ben prima, come suggerirebbero indicare le date rilevate nei tag aggiunti dal programma di copia usato per clonare il sito TotalErg.
D3Lab opera prevalentemente in ambito phishing, inserita da tempo in un network di professionisti della sicurezza informatica e dell’analisi forense, diversi dei quali collaborano come segnalatori riportando i casi rilevati con tempestività. Nonostante ciò la campagna di attacco, attiva ormai da molte settimane è stata rilevata solo ieri sera. L’utilizzo degli SMS quali veicolo dell’attacco permette ai criminali di far passare l’aggressione molto sotto traccia.
Al momento l’articolo da più parti linkato rimane quello di Natalucci. Questo evidenzia come gli attacchi sarebbero totalmente passati sotto silenzio se uno di questi casi non fosse stato riportato ad un esperto della sicurezza ICT, che rilevandone la peculiarità e pericolosità lo ha analizzato e descritto.
TotalErg, da parte sua, ha evidenziato alla clientela l’esistenza della minaccia, cogliendo il doppio risultato di tutelare i clienti con un giusto avviso e, importantissimo, di innescare con gli stessi un’interazione, come mostrato nell’immagine sottostante, utile a tracciare il nascere di nuovi siti cloni e l’identificazione dei numeri di telefonia mobile da cui gli SMS vengono inviati.
Come per altre campagne di phishing condotte via SMS invitiamo i lettori a trasmetterci attraverso i commenti a questo articolo informazioni relative a:
- sito web indicato nell’sms;
- numero di telefono mittente.
Tali informazioni, una volta validate dall’amministratore del blog, diverranno pubbliche consentendo a chi deputato al contrasto ed alla’azione investigativa di seguire l’evolversi della campagna di phishing.
D3Lab ringrazia per la collaborazione.