Phishing a danno delle Casse di previdenza francesi

seconda pag. phishing CNAMTS

In Francia la previdenza sociale è suddivisa in tre settori principali:

  • malattia, maternità, invalidità e morte, infortuni sul lavoro e malattie professionali;
  • vecchiaia;
  • famiglia;

gestiti da tre differenti enti:

  • la Cassa nazionale di assicurazione malattia dei lavoratori dipendenti (Caisse nationale d’assurance maladie maternitédes des travailleurs salariés), abbreviato CNAMTS, si occupa del primo;
  • la Cassa nazionale di assicurazione vecchiaia (Caisse nationale d’assurance vieillesse, CNAV ) del secondo;
  • la Cassa nazionale degli assegni familiari (Caisse nationale des allocations familiales, CNAF ) del terzo.

Monitorando il phishing internazionale D3Lab aveva rilevato sin dal 2013 l’interesse dei criminali per la Caisse nationale des allocations familiales,

phishing CNAF url rilevati

l’ente destinato all’erogazione degli assegni famigliari, con phishing mirato ad acquisire le carte di credito degli utenti, i cui dati venivano richiesti con la motivazione di accreditarvi quanto dovuto al cittadino avente diritto agli assegni famigliari.

phishing CNAF

Sin nell’immediato si era rilevato come vi fosse un interesse su base “territoriale” dei criminali, presumibilmente dovuto alla conoscenza degli enti da colpire ed alla possibilità di fruire sul territorio di una struttura di collaboratori idonea a fare il cash-out, a monetizzare.  E’ infatti possibile rilevare come la medesima mail box a cui erano destinate le credenziali provenienti dai phishing CNAF/Caf.fr raccogliesse ad esempio anche le credenziali derivanti dai phishing a danno di FreeMobile, venendo utilizzata per oltre un anno consecutivo,

mail box raccolta credenziali

o come nel medesimo sito web compromesso fosse possibile individuare le pagine clone di CNAF/Caf.fr e di La Banque Postale.

mail box impiegate per phishing a danno di più enti francesi

 

Il più recentemente ha consentito di individuare un numero semrpe crescente di casi di phishing a danno della Cassa nazionale di assicurazione malattia dei lavoratori dipendenti (Caisse nationale d’assurance maladie maternitédes des travailleurs salariés, CNAMTS), il cui operato è presumibilmente assimilabile ad INPS ed INAIL per quanto riguarda malattia ed infortunio dei lavoratori dipendenti, come è possibile leggere anche sul sito della nostra INAIL [Il riconoscimento delle Malattie Professionali nei Paesi della U.E. (Francia)].

Anche in questo caso la frode mira a carpire le carte di credito dei cittadini francesi desiderosi di ottenere il rimborso presumibilmente promesso loro dalle mail dei criminali.

I siti clone sino ad ora esaminati presentano la medesima struttura, con una prima pagina di atterraggio, con gif animata simulante una condizione di attesa;

prima pag. phishing CNAMTS

nella seconda pagina vi è la richiesta dei dati anagrafici e di residenza, nonché dell’indirizzo e-mail e password di accesso alla relativa mailbox;

seconda pag. phishing CNAMTS

 

la terza pagina prevede due passaggi: al primo step l’utente indica l’istituto bancario di appoggio,

terza pag. phishing CNAMTS

potendo scegliere tra le seguenti opzioni:

  • Banque AGF / Allianz
  • Banque de Bretagne
  • Banque de Savoie
  • Banque Dupuy de Parseval
  • Banque Marze
  • Banque Palatine
  • Banque Populaire
  • Banque Postale
  • Barclays
  • BforBank
  • Binck.fr
  • BNP
  • BNP Paribas La NET Agence
  • Boursorama Banque
  • BPE
  • Caisse d’Epargne
  • CIC
  • Coopabanque
  • Crédit Agricole
  • Crédit Cooperatif
  • Crédit du Nord
  • Crédit Mutuel
  • e.LCL
  • Fortis Banque
  • Fortuneo Banque
  • Groupama Banque
  • HSBC
  • ING Direct
  • LCL
  • Monabanq
  • Société Generale
  • Société Marseillaise de Crédit
  • Autre Banque

passando quindi allo step successivo con la visualizzazione del form per l’inserimento dei dati della carta di credito;

terza bis pag. phishing CNAMTS

 

la quarta ed ultima pagina notifica la registrazione della domanda di rimborso e dopo la pressione sul pulsante “Terminer” rimanda al reale sito web del CNAMTS (www.ameli.fr)

quarta pag. phishing CNAMTS

 

Vista la virulenza dei cloni (il monitoraggio attivato su tale ente solo da 5 giorni ha già permesso di identificare 12 cloni) è ipotizzabile che la frode stia dando ai criminali discreti risultati.

L’immagine sottostante mostra come in un solo sito web compromesso i criminali abbiano inserito i cloni della Caisse nationale d’assurance maladie maternitédes des travailleurs salariés in quattro diverse directory

  • a
  • b
  • info
  • rembourssement

ed evidenzia l’interesse “territoriale” dei criminali a colpire l’utenza francese attraverso la presenza di un clone riproducente la grafica del sito web dell’ente delle imposte francese.

sito web compromesso infarcito di cloni

 

L’aggressione ad enti governativi (nel tempo D3Lab ha seguito il phishing agli enti irlandesi, sud africani, danesi, ecc…) rappresenta un attacco su larghissima scala: se con il phishing a danno degli istituti bancari il criminale deve sperare di raggiungere un utente effettivamente cliente dell’ente di cui la mail ed il clone riproducono la grafica, con il phishing ad enti governativi appare evidente come ad essere interessata sia praticamente quasi tutta la popolazione (minori a parte) di un paese. Potremmo tristemente dire che ai criminali “piace vincere facile”.

 

/da
Potrebbero interessarti
Campagna di Phishing ai danni di BNK301
SEM (Search Engine Marketing): la nuova via del Phishing
Phishing bancario predisposto per lo SIM SWAP
Phishing ai danni di Carrefour Banca
Campagna di phishing a danno di Meglio Banca
Campagna di Phishing ai danni di InBank
Phishing ai danni della Banca Cambiano
Phishing ai danni di Netflix Italia