In data odierna abbiamo identificato molteplici attacchi di Phishing ai danni di diversi Provider Italiani ed Europei, sono infatti coinvolti:
L’intento dei Phisher è diversificato in base al provider coinvolto, in alcuni casi l’obiettivo è quello di carpire esclusivamente le credenziali di accesso all’account in altri invece l’utente viene invitato a normalizzare un pagamento non riuscito carpendo i dati della carta di credito della vittima.
Gli attaccanti tramite l’acquisizione delle sole credenziali di accesso agli account puntano ad acquisire il controllo delle caselle eMail, Domini o Server associati all’account, ottenendo quindi nuovi destinatari utili per diffondere le eMail di Phishing, caselle eMail nuove da cui inviare campagne di Phishing e spazi web su cui ospitare i Kit di Phishing. Senza trascurare l’eventuale accesso a informazioni sensibili contenute nelle caselle eMail o in spazi riservati dei domini/server.
Il phishing viene diffuso attraverso email con link che portano a pagine web realizzate con codifica base64, questa tecnica permette ai criminali di rendere più complessa l’identificazione degli indirizzi web coinvolti e di poter personalizzare l’URL mostrato nella barra dell’indirizzo del browser con il testo che si preferisce ingannando maggiormente la vittima.
Il precedente screenshot ci illustra graficamente questa tecnica, come vediamo il Browser interpreterà correttamente il codice codificato in base64 mostrando all’utente l’indirizzo “data:text/html;http://fastweb.it/cp/ps/Main/login/Authenticate”. Fatta eccezzione della parte iniziale “data:text/html;” l’utente visualizzerà l’indirizzo autentico di Fastweb ignorando che successivamente è presente una stringa in base64 utile al Browser a visualizzare la pagina di Phishing.
Il medesimo server oltre ad ospitare Phishing ai danni dei Provider citati contiene anche cloni dei siti FreeMobile, Swisscom, Orage, Oney, Wester Union, Ameli, Bouygues e SFR.
Vi lasciamo con una galleria fotografica dei diversi cloni coinvolti in questo attacco.
L’individuazione dei diversi cloni è avvenuta partendo dall’analisi del phishing Aruba segnalato sui social network (tweet) da Paolo Dal Checco, noto analista forense.
Integrazione 16/03/2017 ore 17:01
In data odierna, a seguito dell’articolo sopra riportato, abbiamo ricevuto richiesta via mail da parte di Keliweb S.R.L., di comprovare che effettivamente era stato fatto uso dei loro loghi e marchi in azioni criminali, in alternativa eravamo invitati a rimuovere dal post quanto riguardava la società.
Si reputa necessario quindi integrare al meglio l’informazioni: i post pubblicati hanno sempre e solo la finalità di informare l’utenza del web sulle nuove metodiche criminali e sui nuovi target scelti dagli stessi. Sino ad ora mai nessuna società o istituto bancario citato nei post ha contestato l’informazione prodotta e D3Lab ha sempre garantito la massima trasparenza nel fornire alle società, se richiesto, le informazioni utili affinché queste potessero intervenire a contrasto della frode.
Come sopra scritto l’analisi della campagna di phishing si è sviluppata partendo da un tweet di Paolo Dal Checco, noto esperto di informatica forense, curatore tra l’altro di uno dei blog più ricchi di informazioni riguardo alla minaccia ransomware. Competenza e serietà del Dal Checco ci hanno portato a ritenere l’informazionetrasmessa con il tweet serie ed attendibile. Abbiamo successivamente comprovato l’esistenza del clone visitando gli url segnalati, il primo su ipixline[dot]fr avente funizone di redict rappresentava presumibilmente il link presente nella mail di attacco, il secondo, su dedibox[dot]fr, il clone.
Nello svolgimento delle attività di monitoraggio e contrasto del phishing non è affatto raro che l’azione di identificazione di un url malevolo avvenga senza avere in mano la mail di attacco, come in questo caso.
Ricercando informazioni in relazione agli host coinvolti si rilevava su VirusTotal che il server con ip 51.15.13.125 assegnato all’host sd-123370.dedibox.fr era già stato impiegato per phishing a danno di ISP a fine febbraio.
In comune con la campagna discussa in questo post vi era sia il target, un ISP, sia l’uso del file snd.php.
Si è proceduto ricercando path relativi agli ISP già colpiti da phishing individuando diversi clone a danno di diversi provider.
Venendo nello specifico alla pagina clone riproducente la grafica di Keliweb.it, presenti all’url sd-123370.dedibox[dot]fr/keliweb/snd.php, è sufficiente l’uso di curl per visualizzare il sorgente reale della pagina, senza che il browser lo interpreti.
Si può notare come il codice html della pagina codificato in base 64 sia inserito nel tag meta, con i vantaggi per i criminali citati sopra.
Il medesimo risultato può essere osservato facendo uso del tool Hashbot, pensato proprio per l’acquisizione forense delle risorse web.
Decodificando il codice base64 così acquisito si ottiene il codice html della pagina clone
da cui si può osservare come i criminali non si siano nemmeno preoccupati di fare una copia di tutte le risorse web (immagini, js, css) impiegate dalla pagina web del provider, ma abbiano linkato direttamente quelle presenti sul sito legittimo della società colpita.
Sniffando il traffico con Wireshark osserviamo il tutto con maggior dettaglio.
ed ancora.
Dovrebbe a questo punto risultare certa la presenza on-line della pagina con grafica, loghi e marchi Keliweb.it realizzata dai criminali.
Le informazioni riportate in questa integrazione sono state inviate a Keliweb via posta elettronica (normale e certificata). D3Lab resta ovviamente a disposizione della società per ulteriori chiarimenti e si augura che l’url della pagina malevola, ora a loro noto, possa consentirgli di intervenire presso l’hoster per ottenere la messa off-line della stessa.