Phishing: secondo quadrimestre 2012
L’attività di monitoraggio dei tentativi di frode informatica della tipologia phishing effettuata da D3Lab nel secondo quadrimestre 2012 ha permesso di rilevare, in panorama italiano, 487 differenti url di attacco contenute a vario modo in messaggi di posta elettronica di natura fraudolenta, finalizzati a carpire agli utenti di servizi on-line italiani le credenziali di accesso agli stessi e i dati per l’utilizzo di conti correnti on-line e delle carte di credito.
I 487 differenti url facevano capo a 392 differenti domini, numero che tuttavia nasconde una realtà ancor più drammatica essendo costituito da quei domini individuabili nei messaggi di posta, non evidenziando altresì il gran numero di domini coinvolti negli attacchi in qualità di meri raccoglitori di credenziali, basi per l’invio dei messaggi di posta, spazi di hosting per le immagini richiamate nelle pagine e mail fraudolente, domini nascosti da short url e redirect.
Il grafico sottostante mostra la distribuzione delle url individuate nei tentativi di frode agli utenti dei diversi enti/istituti
Il confronto di tali dati con quelli rilevati nel primo quadrimestre ed aggiornati con successivi rilievi
evidenzia come il phishing in ambito italiano si sia concentrato, a differenza degli scorsi hanni, prevalentemente sugli utenti di Carta Si e Poste Italiane.
(Nota: Il confronto con il quadrimestre precedente è in parte falsato dalla migliorata capacità di rilevamento ottenuta da D3Lab con lo sviluppo di propri strumenti di monitoraggio)
I restanti istituti, a differenza del 2010 e 2011, hanno potuto giovare di un calo di interesse da parte dei criminali, che non va tuttavia correlato con il subentrato utilizzo di strumenti OTP, infatti i tentativi di frode ai danni degli utenti di Unicredit Banca, Intesa San Paolo, Banca Sella, istituti che da tempo hanno dotato i loro clienti di token OTP, utilizzavano l’interfaccia di home banking dei rispettivi portali all’unico fine di realizzare la cornice grafica per i moduli con i quali vengono richiesti i dati delle carte di credito.
Sono stati sempre finalizzati al furto dei dati delle carte di credito anche i tentativi di frode a danno degli utenti di Telepass Spa e di Gioco Digitale.
In questo quadrimestre si è inoltre notato un netto calo nell’attività di uno dei gruppi criminali più agguerriti, per quanto non particolarmente skillato, che ha apparentemente diradato gli attacchi portati fino ad aprile attraverso il costante utilizzo di redirect e mirante a colpire istituti con piattaforme di home banking ancora legate alla password dispositiva, spostando la propria attenzione verso gli utilizzatori delle carte di credito Visa e Carta Si.
Relativamente alle modalità di attacco utilizzate, vi è una leggera flessione nell’utilizzo di form e redirect a fabore dell’utilizzo di link diretti alle pagine fraudolente.
Il monitoraggio svolto in ambito internazionale ha consentito di rilevare nella seconda metà di agosto lo spread di una campagna di attacco nei confronti del ramo francese del gruppo BNP Paribas
che nelle prime settimane di settembre è stato riproposto anche in versione italiana.
Sempre il monitoraggio in ambito internazionale ha palesato l’interesse dei criminali per tutti quegli enti/servizi presso i quali gli utenti possono o potrebbero pagare con carta di credito. Era stata sviluppata con tale orientamento la campagna di attacchi volta a colpire gli utenti dei servizi del gruppo energetico EDF (Électricité de France) ai quali veniva proposto l’addebito della bolletta su carta di credito.
Tale era anche l’orientamento delle già citate frodi ai danni degli utenti di Telepass e Gioco Digitale.