SEM (Search Engine Marketing): la nuova via del Phishing

Per anni i criminali ci hanno portato sulle pagine di phishing inondandoci di false mail. Negli ultimi due anni, data la diffusione di smartphone che consentono una agevolo navigazione sul web, hanno cominciato a veicolare i propri attacchi attraverso SMS, senza tralasciare l’uso di sistemi di messaggistica istantanea quali WhatsApp, o sfruttando l’enorme diffusione dei social network.

Nell’ultimo trimestre si è invece assistito ad un crescente numero di campagne di phishing attraverso le tecniche di marketing sui social network, la cui più banale applicazione è l’acquisto di “spazi pubblicitari” da mostrare agli utenti che effettuano ricerche con specifiche parole.

Dopo i casi verificatesi nell’arco del trimestre a danno di istituti nostri clienti in data odierna, effettuando i monitoraggi di prassi su questo “canale di diffusione”, abbiamo rilevato una campagna di phishing in atto a danno di UBI Banca.

20160725135147

 

La pagina di phishing viene proposta agli utenti che ricercano sui motori di ricerca Bind o Yahoo (che trae gli annunci pubblicitari dal primo) il termine “ubibanca“.

annuncio pubblicitario truffa su Bing

 

Il primo risultato presente nella prima pagina dei risultati sebbene riporti come dicitura “UBIBanca | ubibanca.it” nasconde in realtà il link all’url

hxxp://andishvarzan.com/ub

il quale funziona come redirect verso

hxxp://hnicole.com/it/

che infine conduce alle pagine clone posizionate in

hxxp://www.shahkilid.ir/it/

come mostrato dallo screenshot sottostante.

seguendo gli url di phishing

Dall’output di curl si può osservare come:

  • la pagina di destinazione celi in realtà un set di frame, in questo caso la pagina sorgente è inserita in una directory inoculata nel medesimo sito web violato, ma i criminali avrebbero potuto richiamare la sorgente da un diverso dominio/sito;
  • l’url finale presenti nella richiesta GET tre diversi parametri:
    • banklng
    • ids
    • rpsnv

di questi solo il parametro ids è obbligatorio, senza di esso si viene rediretti a Google. Il parametro ids, il cui nome sembrerebbe richiamare il suo utilizzo quale operando di sicurezza (firewall/intrusion detection system), contiene il nome del dominio contenente il secondo redirect codificato in base64. L’utilità di tale meccanismo appare immediata, solo che giungerà sulla pagina attraverso il falso annuncio commerciale avrà seguito il concatenarsi di richieste e porterà quindi con se il dominio del referer, gli altri saranno identificati quali intrusi da tenere alla larga, dando magari l’impressione, attraverso il reindirizzamento a Google, che il sito clone sia già stato messo off-line.

Conferma di quanto sopra la si ottiene attraverso il recupero del kit di phishing, l’insieme di file caricati dal criminale per la realizzazione del clone, il cui esame

kit di phishing

 

evidenzia la presenza di una lista di indirizzi ip bannati, l’azione di ids/firewall svolta dalla variabile ids e la probabile origine da paesi di lingua spagnola degli autori del kit e della frode.