Phishing Tim …team criminale instancabile

mail fraudolenta

Ciò che nel panorama criminali ha dell’incredibile è la perseveranza e costanza di alcuni team criminali.

Il tentativo di phishing a danno degli utenti TIM di cui raccontiamo oggi, tristemente eseguito con successo, è stato messo in atto da un gruppo criminale attivo sin dal 2012, che nel tempo ha affinato i propri template e le proprie modalità operative, mantenendo tuttavia alcune caratteristiche costanti nel tempo. Nel suo “portfoglio” target il team criminale può annoverare Eni/Agip, Carrefour, Total Erg, ma la sua azione è in realtà stata molto più ampia, spesso incisiva, intensa e di “successo”.

 Venerdì 17 Aprile si è individuato un messaggio di posta fraudolento, partito da un host OVH britannico, presenta le seguenti caratteristiche:

mail fraudolenta

 

From: “TIM PROMOTIONALS” <[email protected]>

Oggetto: resta connesso con noi 128101696

Corpo del messaggio (in base64):

Salve [email protected]

Benvenuto in Special Day ricarica e vinci. Se ricarichi il tuo telefonino TIM di 25€ entro oggi, ne avrai in omaggio altri 25 al mese per 3 mesi, per un totale di 75€ erogati. Visita ora la pagina dedicata all’offerta attraverso il link sottostante ed afferra al volo la promozione prima che finisca!

Aderisci ora!

 

Il link celato sotto “Aderisci ora!” portava ad uno short url del servizio bit.do che redirigeva su pagine clone inserite nel dominio timonlinepiu.com, creato ad hoc con nome attinente al target, in hosting presso Register.it.

La home page del sito/dominio presenta la pagina di default dell’hoster, mente il clone viene individuato in sub-directory con nome che viene variato nel tempo dai criminali, risultando comunque sempre raggiungibile caricando l’url 

hxxps://timonlinepiucom.serversicuro.it/tim/  (url malevolo)

La struttura del kit prevede un azione di filtro sugli indirizzi ip, affincheé solo i visitatori facenti uso di ip italiano visualizzino il clone.

pagina clone

 

Le pagine sono pubblicate in HTTPS attraverso serversicuro.it.

Nella giornata di sabato 18 Aprile lo short url risultava essere stato disabilitato, vi sono tuttavia evidenze che le pagine clone hanno continuato a ricevere visite, mietendo vittime, il che lascia presumere l’invio di ulteriori mail di attacco. 

E’ ipotizzabile che nei prossimi giorni/settimane gli attacchi inizino ad essere veicolati via sms come avvenuto in passato per Carrefour e TotalErg.

TIM è stata notiziata lo stesso venerdì 17.