Libero Mail Phishing con dominio Ad hoc

Libero Mail Phishing

Dallo scorso 24 Ottobre è attiva una campagna di Phishing ai danni degli utenti Libero Mail finalizzata all’acquisizione esclusiva delle credeziali dell’account di posta elettronica. Il Phisher per ingannare maggiormente la vittima ha creato il dominio Ad hoc login-webmail-libero.com che può far pensare ad un sito autentico.

Il Whois del dominio ci riporta che è stato sfruttato un servizio di Privacy Protection per nascondere il proprietario del dominio.

Creation Date: 2016-10-06T18:43:00.00Z
Registrar Registration Expiration Date: 2017-10-06T18:43:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 0
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: [email protected]

Analizzando il kit di Phishing rileviamo che è stato realizzato con l’intento di eludere le BlackList dei filtri anti-phishing grazie alla generazione random di url.

L’utente caduto nella trappola verrà indirizzato ad una finta pagina che gli conferma il corretto inserimento dei dati, anche se il kit non prevede realmente la verifica dell’username e delle password, e infine rediretto verso il sito ufficiale di Libero.

Libero Mail Phishing Verifica Credenziali

Attraverso l’attività di analisi del tentativo di phishing è stato possibile recuperare le credenziali carpite dai criminali, dalla cui analisi si rileva la presenza di:

  • 418 eMail @libero.it;
  • 5 eMail @inwind.it;
  • 2 eMail @hotmail.it
  • 2 eMail @iol.it;
  • 1 eMail @gmail.com.

E l’inserimento di 558 inserimenti di password, così composte:

  • 13 password contenti un simbolo (@, !, #, ecc)
  • 53 password composte esclusivamente da numeri;
  • 30 password composte da almeno una lettera maiuscola;
  • 306 password composte esclusivamente da letture minuscole;
  • Nessuna password generata tramite una funzione random.

Le credenziali sottratte verranno quasi sicuramente utilizzate per inviare ulteriore Phishing o Spam ad altri utenti o alle rubriche eMail salvati all’interno degli account sottratti.