Phishing Banca Popolare di Milano
Nella giornata di ieri mercoledì 27 Novembre 2013, D3Lab ha rilevato un attacco di phishing, al momento (09:30 del 28/11/2013) ancora attivo, a danno degli utenti di Banca Popolare di MIlano.
Il tentativo di frode, come sempre più spesso sta avvenendo, non mira tanto a carpire i dati dell’home banking, quanto quelli della carta di credito e della mail box degli utenti.
La mail di attacco, che appare essere stata inviata attraverso uno script php inoculato in un sito web spagnolo, presenta le seguenti caratteristiche:
Mittente visualizzato: Banca Popolare di Milano <[email protected]>
Oggetto: Avviso importante da BPM Banking
Testo della mail (html):
————————————————————————————————————
Gentile Cliente,
Il tuo account è stato posto sulle restrizioni speciali a causa di recenti operazioni.
Si prega di visitare il link sottostante per confermare la tua identità e per riconquistare il suo valore e l’accesso al tuo profilo bancario.
https://www.bpmbanking.it/pub/xbank/home.do
L’impossibilità di eseguire questo passaggio comporterà la sospensione permanente del tuo account.
Cordialmente,
Banca Popolare di Milano Società Cooperativa a r.l.
P.IVA 00715120150 – Gruppo Bipiemme
————————————————————————————————————
Il collegamento ipertestuale nasconde il link a
http://bpmbanking.it-pub-xbank-home.do.0af7806a38a1ba9d9cbac36ad9aeda70e1c.0d0146638fd6ae870e1c044a751271270af789147127011.[break] 0af7806a38a1ba9d9cbac36ad9aeda70e1c638fd6ae870e1c044a75.sysbanknet.com/Bpmbanking/d/fb6e1d4757d56e73d885e11baa1c9c40/main.php
le pagine di phishing si trovano quindi nella directory fb6e1d4757d56e73d885e11baa1c9c40/ tuttavia copia delle stesse è individuabile in Bpmbanking/
La prima pagina mira a catturare i dati di accesso all’home banking,
trasmettendoli attraverso il metodo GET, codificati in base64,
alla pagina successiva dove, come mostrato dall’immagine sottostante, vengono richiesti dati personali, della carta di credito e di accesso alla casella di posta elettronica.
Il dominio utilizzato risulta registrato nell’aprile 2011 a nome di una società spagnola, tuttavia non risultano essere presenti pagine od informazioni.
E’ interessante notare come usando, non è dato sapere se volutamente, negli header della mail un indirizzo non appartenente a Banca Popolare di Milano
Reply-To: [email protected]
i phisher evitano di far giungere all’istituto le notifiche di mancato recapito per la mail inviate ad indirizzi inesistenti, situazione che dovrebbe/potrebbe generare nell’ufficio preposto i necessari warning proprio inerenti il possibile spread dell’attacco.
