Phishing Banca Popolare di Milano

mail fraudolenta

Nella giornata di ieri mercoledì 27 Novembre 2013, D3Lab ha rilevato un attacco di phishing, al momento (09:30 del 28/11/2013) ancora attivo, a danno degli utenti di Banca Popolare di MIlano.
Il tentativo di frode, come sempre più spesso sta avvenendo, non mira tanto a carpire i dati dell’home banking, quanto quelli della carta di credito e della mail box degli utenti.

La mail di attacco, che appare essere stata inviata attraverso uno script php inoculato in un sito web spagnolo, presenta le seguenti caratteristiche:

mail fraudolenta

 

 

Mittente visualizzato: Banca Popolare di Milano <[email protected]>

Oggetto: Avviso importante da BPM Banking

Testo della mail (html):

————————————————————————————————————

Gentile Cliente,

Il tuo account è stato posto sulle restrizioni speciali a causa di recenti operazioni.

Si prega di visitare il link sottostante per confermare la tua identità e per riconquistare il suo valore e l’accesso al tuo profilo bancario.

https://www.bpmbanking.it/pub/xbank/home.do

L’impossibilità di eseguire questo passaggio comporterà la sospensione permanente del tuo account.

Cordialmente,

Banca Popolare di Milano Società Cooperativa a r.l.

P.IVA 00715120150 – Gruppo Bipiemme

————————————————————————————————————

 

Il collegamento ipertestuale nasconde il link a

http://bpmbanking.it-pub-xbank-home.do.0af7806a38a1ba9d9cbac36ad9aeda70e1c.0d0146638fd6ae870e1c044a751271270af789147127011.[break] 0af7806a38a1ba9d9cbac36ad9aeda70e1c638fd6ae870e1c044a75.sysbanknet.com/Bpmbanking/d/fb6e1d4757d56e73d885e11baa1c9c40/main.php

le pagine di phishing si trovano quindi nella directory fb6e1d4757d56e73d885e11baa1c9c40/ tuttavia copia delle stesse è individuabile in Bpmbanking/

La prima pagina mira a catturare i dati di accesso all’home banking,

prima pagina fraudolenta

 

trasmettendoli attraverso il metodo GET, codificati in base64,

dati trasmessi via GET

 

alla pagina successiva dove, come mostrato dall’immagine sottostante, vengono richiesti dati personali, della carta di credito e di accesso alla casella di posta elettronica.

seconda pagina fraudolenta

 

Il dominio utilizzato risulta registrato nell’aprile 2011 a nome di una società spagnola, tuttavia non risultano essere presenti pagine od informazioni.

E’ interessante notare come usando, non è dato sapere se volutamente, negli header della mail un indirizzo non appartenente a Banca Popolare di Milano

Reply-To: [email protected]

i phisher evitano di far giungere all’istituto le notifiche di mancato recapito per la mail inviate ad indirizzi inesistenti, situazione che dovrebbe/potrebbe generare nell’ufficio preposto i necessari warning proprio inerenti il possibile spread dell’attacco.

 

 

/da