Carola

Italian language version

Operating daily within the field of OSINT activities, we often encounter the difficulty of making possible customers understand what the potential and usefulness of this type of activity might be. Another problem is making the customer understand what the difficulties and limitations of this type of activity could be, where years of television series have accustomed us to seeing the geek operatives of CSI, NCIS, etc… retrieving any information about a person with a just click.

We could face two differente situations:

  1. the target is too active on the web: analists should be submerged by data and find really interesting data could be very hard.
  2. the target is savvy enough about privacy stuffs to not leave data behind.

We could indeed find ourselves in two extreme situations:

  • in the first, the target is too active in the web, analysts will therefore find themselves overwhelmed by an excess of information in which it is almost impossible to identify specific facts of real utility;
  • in the second, the target is a subject that is particularly attentive to their privacy and analysts will find themselves in the situation of not being able to identify any type of information on the net.

In this context, Carola Rackete, Sea-Watch 3 commander, represents an interesting case history: in the media it was reported that it was impossible to find evidence confirming the details of the curriculum she published on LinkedIn (1). Indeed, the complete absence of any such evidence was alleged, given that Carola doesn’t have any social media profile apart from LinkedIn.

So we decided to perform a simulation aimed to verify what an OSINT research can lead starting from information about Carola freely available on-line.

So, we decided to perform a simulation aimed at verifying the results that OSINT research can achieve starting from information about Carola that was freely available on-line.

Premise: each piece of information, document and image presented in this post is freely available on-line and can be consulted by anyone based on the privacy setting of the owners.

Continua a leggere

Carola

English version

Operando giornalmente nell’ambito dell’attività OSINT ci scontriamo spesso con la difficoltà di far comprendere ai possibili clienti quali possono essere potenzialità e utilità di questo tipo di attività.
Un altro problema è far comprendere al cliente quali possono essere le difficoltà e i limiti di questa tipologia di attività, laddove anni di serie televisive ci hanno abituato a vedere gli operatori geek di CSI, NCIS, ecc..  recuperare qualsiasi informazione su una persona con un solo click.

Ci si potrebbe infatti trovare in due situazioni estreme: nella prima il target è troppo attivo nell’ambito web, gli analisti si troveranno quindi sommersi da un eccesso di informazioni in cui è complesso individuare quelle di reale utilità; nella seconda il target è un soggetto particolarmente attento alla propria privacy e gli analisti si troveranno nella condizione di non riuscire a individuare in rete informazioni di alcun tipo.

In tale contesto Carola Rackete, comandante della Sea-Watch 3, ha rappresentato un interessante case history: sui media è stato riportato dell’impossibilità di trovare riscontri al curriculum dalla stessa pubblicato su LinkedIn(1), nonché della sua presunta assenza dal panorama digitale, non avendo lei alcun profilo social (LinkedIn a parte).

E’ stata quindi svolta una simulazione al fine di verificare i risultati delle attività di ricerca ed analisi che potessero identificare Carola partendo dalle varie informazioni pubblicamente reperibili.

Premessa: ogni informazione, documento, immagine presente in questo articolo è individuabile on-line e consultabile da chiunque in base alle impostazioni di condivisione e privacy settate dai rispettivi proprietari/titolari. Continua a leggere

Sei stato uno dei dieci fortunati vincitori di un Samsung Galaxy S10 spedito da Poste Italiane a soli 1,95euro? Bhe sappi che è una operazione di scam e con buona probabilità non riceverai alcun regalo!

Lo scam è un tentativo di truffa pianificata con metodi di ingegneria sociale. In genere avviene inviando una e-mail nella quale si promettono grossi guadagni in cambio di somme di denaro da anticipare. Spesso scam e spam sono strettamente correlati. Lo scam può riferirsi anche a un tentativo di furto di dati informatici sensibili, come password da parte di malintenzionati, al fine di sottrarre o trasferire indebitamente somme di denaro da conti on line. {Wikipedia}

Il sito internet creato Ad Hoc per veicolare questa campagna di scam mostra in home page la dicitura “Congratulationi! Sei uno dei 10 fortunati utenti che abbiamo selezionato per avere l’opportunità di vincere un Samsung Galaxy S10.” e in aggiunta è presente una sezione di commenti di altri utenti che confermano di aver ricevuto il telefono proprio nei giorni antecedenti.

Continua a leggere

Phishing ai danni della Banca Popolare di Sondrio

Da martedì 9 Aprile è in corso una importante campagna di Phishing ai danni della Banca Popolare di Sondrio, data l’importante mole di eMail rilevate nei confronti di questo istituto mercoledì abbiamo dato risalto dell’attività tramite i profili ufficiali di D3Lab nei Social Network.

Ad oggi la campagna di Phishing sta proseguendo con l’invio di un massiccio numero di eMail. Il messaggio inviato alla probabile vittima è molto semplice: lo avvisa che la password del proprio Home Banking è scaduta e lo invita ad accedere al sito per completare il login.

Continua a leggere

Italian version here.

In last days D3Lab identified a malspam campaign which simulate a communication about invoices and payments to spread malware with the aim to steal sensitive data from Ms Windows devices.

The malware is downloaded, from a probably compromised domain, and executed by a Microsoft Exel macro attached to the mail, clearly these actions require a users interaction.

The malware uses SMTP protocol to send stolen credentials towards command and control servers identified by domain names made ad-hoc for this malspam campaign. This escamotage allows to escape superficial network traffic control using believable domain names capable to deceive network controller operators, letting the malware talking with C&C servers.

Since Aprile the 1st we identified eleven malware versions . The difference is in the SMTP server used to send stolen credentials and we suppose each file has been made to hit different countries.

Continua a leggere

English version here

Questa settimana si sta svolgendo una campagna di malspam mediante falsa comunicazione di avvenuto pagamento di una fattura, il malware viene veicolato attraverso un file Microsoft Excel contenete una macro malevola che ha il compito di scaricare ed eseguire il binario malevolo.

Le credenziali carpite vengono inviate mediante il protocollo SMTP ed inoltre vengono sfruttati dominii creati Ad Hoc per le comunicazioni.

Questa tecnica permette di eludere superficiali controlli del traffico di rete, un operatore potrebbe non distinguere alcuna differenza tra il dominio ufficiale di un ente e quello creato Ad Hoc così da non bloccare il traffico in uscita generato dal malware.

Dal primo aprile ad oggi abbiamo identificato undici varianti del malware, si differenziano tra loro per il server SMTP sfruttato per l’invio delle informazioni sensibili carpite alla vittima e probabilmente ogni file ha un target nazionale prestabilito dai criminali.

Continua a leggere

Blackmail emails are storming internet users since last october, when the phenomenon started and acquired space in all information media.

The biggest power of this kind of attack is to fool the receiver leading him to believe that the message came from it’s own email box, that it’s been compromised.

In the first time emails body was composed in simple text.

Continua a leggere

Yesterday we received a phishing email targeting Apple Store users.

The email, writed in english, hasked for a payment for a movie pre-order. The email body’s html was hidding a phishing url under “Review and cancel here”.

Continua a leggere

inserimento dati anagrafici

Lo scorso anno vi avevamo raccontato del phishing a danno di Carrefour Banca rilevato tra gennaio e febbraio, ieri a circa un anno di distanza i criminali tornano a colpire gli utilizzatori delle carte Carrefour.

L’analisi del caso trae spunto da un tweet di @illegalFawn ricercatore sempre attento a questa tipologia di minacce

tweet illegalFawn

Rispetto ai casi di phishing rilevato lo scorso anno la grafica risulta meno curata e il kit sfrutta il sistema delle sub directory con nomi random, create per ogni nuova visita.

Continua a leggere

Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.

L’eMail inviata che potete vedere nello screenshot di apertura e testualmente di seguito è correttamente scritta in Italiano e probabilmente copiata da una legittima comunicazione di Vodafone, ma in questo caso è presente un allegato compresso (in formato rar) che contiene un file Visual Basic Script.

Continua a leggere