Piovono Domini ad-hoc per una campagna di Phishing ai danni di Lottomatica
Il nostro servizio di Brand Monitor permette di monitorare la registrazione di nuovi domini internet a tutela di un marchio individuando tempestivamente utilizzi inopportuni del brand del cliente. È sempre più frequente rilevare criminali informatici che registrano nuovi domini molto similari agli originali per confondere l’utente e trarlo in inganno, i domini vengono spesso usati per diffondere Malware, Phishing Bancario (es. Bonus 500euro, SMS Poste Italiane, PayPal, ecc), Man in The Mail (es. Ubiquiti stung US$46.7 million in e-mail spoofing fraud) o destabilizzare l’asseto azionario come successe a Intesa San Paolo con la registrazione di un dominio ad-hoc e la relativa pubblicazione di un falso comunicato dell’AD Carlo Messina.
Nel corso dell’ultima settimana abbiamo rilevato la registrazione di un elevato numero di domini con TLD .xyz sfruttati per attuare una campagna di Phishing ai danni dei titolari di carte di credito emesse da Lottomatica, ovvero la Lottomaticard e la carta di credito prepagata PayPal che ricordiamo essere emessa da Lottomatica e Banca Sella per il nostro paese.
I domini registrati tra l’8 Febbraio e il 12 sono in totale 55:
cartalislottomaticard.xyz
cartalislottomaticard0.xyz
cartalislottomaticard1.xyz
cartalislottomaticard2.xyz
cartalislottomaticard3.xyz
cartalislottomaticard4.xyz
cartalislottomaticard5.xyz
cartalislottomaticard6.xyz
cartalislottomaticard7.xyz
cartalislottomaticard8.xyz
cartalislottomaticard9.xyz
cartalisprepagat.xyz
cartalisprepagata1.xyz
cartalisprepagata2.xyz
cartalisprepagata3.xyz
cartalisprepagata4.xyz
cartalisprepagata6.xyz
cartalisprepagata7.xyz
cartalisprepagata8.xyz
cartalisprepagata9.xyz
cartalisprepagata12.xyz
cartalisprepagata13.xyz
cartalisprepagata14.xyz
cartalisprepagata15.xyz
cartalisprepagata16.xyz
cartalisprepagata17.xyz
cartalisprepagata19.xyz
cartalisprepagate.xyz
cartalisprepagate1.xyz
cartalisprepagate2.xyz
cartalisprepagate3.xyz
cartalisprepagatee.xyz
cartalisprepagati.xyz
cartalisprepagatii.xyz
lottomaticard.xyz
lottomaticard1.xyz
lottomaticard2.xyz
lottomaticard3.xyz
lottomaticard4.xyz
lottomaticard5.xyz
lottomaticard6.xyz
lottomaticard7.xyz
lottomaticard8.xyz
lottomaticard9.xyz
lottomaticard10.xyz
lottomaticard11.xyz
lottomaticard12.xyz
lottomaticard13.xyz
lottomaticard14.xyz
lottomaticard15.xyz
lottomaticard16.xyz
lottomaticard17.xyz
lottomaticard18.xyz
lottomaticard19.xyz
lottomaticard20.xyz
I phisher al fine di limitare una immediata identificazione delle pagine fraudolente hanno previsto un redirect verso il dominio otobankasi.com se si accede direttamente al dominio o al sotto-dominio www, per visualizzare le pagine di Phishing bisognerà indicare un sotto-dominio random. Questa tecnica permette anche di limitare le funzionalità delle BlackList di Phishing poichè l’url visualizzato dall’utente varierà continuamente.
Nei due screenshot precedenti vediamo un anteprima delle pagine fraudolente, in esse l’utente è invitato ad inserire le credenziali per poter accedere al pannello di controllo della propria carta e i dati relativi ad essa. Data la richiesta delle credenziali di login, e non solo i dati della carta, è probabile che il team di Phisher voglia trasferire i fondi della vittima verso un’altra prepagata emessa da CartaLIS/Lottomatica.
I domini sono stati registrati a nome di due persone Debora Cestari e Ovidiu Ioan Sara, probabilmente sono nominativi inventati o vittime di altre campagne di Phishing, i cui dati e lecui carte di credito possono essere usate per acquistare servizi utili alla struttura criminale… il phishing è anche questo, vittime inconsapevolmente coinvolti nelle frodi.
Un altro ente fortemente colpito in Italia attraverso la creazione di domini ad-hoc è Poste Italiane, dal 1 Gennaio 2017 ad oggi abbiamo rilevato la registrazione di 107 nuovi domini sospetti, a dimostrazione di quanto la metodica sia ampiamente impiegata dai criminali e di come il suo controllo e contrasto richiesta procedure e servizi ad hoc.