A partire da lunedì 12 Aprile 2021, nell’ambito del servizio IoC Zone, D3Lab ha registrato in Italia una campagna massiva di tipo smishing rivolta ad utenti Android che, tramite l’invio di messaggi SMS malevoli è finalizzata a rilasciare il malware Flubot.
Il Malware (APK) Flubot sta circolando in quasi tutti i continenti: dall’Europa fino ai paesi asiatici ad esclusione dei paesi dell’ex-Urss, come riportato in una analisi del Cert-Agid che per primo ha diramato la notizia in Italia al fine di sensibilizzare le potenziali vittime.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2021/04/flubot.png?fit=598%2C556&ssl=1556598Margarethttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngMargaret2021-04-27 14:43:032021-04-27 14:53:43Massiva campagna Flubot veicolata in Italia tramite SMS DHL
Fideuram – Intesa Sanpaolo Private Banking S.p.A., spesso abbreviata semplicemente in Fideuram, è un istituto bancario italiano appartenente al Gruppo Intesa Sanpaolo gestita coi principi del private banking.
Fideuram è soggetta ad attacchi di phishing che riprendono il loro logo e l’interfaccia del homebanking dal 2020, nel week end appena passato abbiamo identificato una nuova campagna a loro danno veicolata tramite dominio creato Ad Hoc.
Questo nuovo clone ha la particolarità, a differenza delle precedenti segnalazioni, di essere visibile esclusivamente da una risoluzione mobile. Ovvero la risoluzione dello schermo di uno smartphone, usualmente i criminale effettuano verifiche sull’user agent mentre in questa segnalazione viene correttamente mostrato il clone se si ha una risoluzione inferiore ai 1024×768.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2021/04/Fideuram_Phishing_01.png?fit=516%2C584&ssl=1584516Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2021-04-26 12:44:362021-04-26 12:45:01Campagna di Phishing ai danni di Fideuram
Il Phishing ai danni di utenti italiani è notevolmente aumentato dal 2019 ad oggi con un cambiamento di rotta significato nelle informazioni richieste alle vittime e dalle tecniche sfruttate dai criminali per divulgare e frodare le vittime. Per diversi anni l’interesse dei criminali era focalizzato principalmente sulle carte di credito e in minoranza sui dati di login per accedere al home banking; dal 2019 la situazione progressivamente è mutata fino ad oggi dove la stragrande maggioranza delle campagne verte dell’acquisire username e password di accesso al conto corrente online delle vittime.
Campagne di Phishing Italiane
L’interesse verso i conti correnti è avvenuto conseguentemente l’introduzione di metodi di pagamento istantanei raramente annullabili, come i bonifici bancari istantanei o pagamenti di bollettini postali, che garantiscono ai criminali un rapido ed efficace metodo di movimentare i soldi sottratti alle vittime. I nuovi sistemi anti-frode e l’introduzione della normativa PSD2 hanno reso più sicuri i conti correnti di tutti i correntisti Europei, i criminali sono stati quindi stimolati a progettare nuove tecniche di phishing più sofisticate che non comprendono più il solo invio di una e-mail ma anche chiamate telefoniche, installazioni di applicazioni sugli smartphone delle vittima e altre tecniche che vedremo in futuro in un articolo dedicato.
Ad oggi quindi al tradizionale sito di phishing viene comunemente affiancata una operazione di Vishing (chiamata da parte di un falso operatore bancario) e l’utilizzo di pannelli di controllo dedicati ai criminali per monitorare l’avanzamento della frode e richiedere in tempo reale alla vittime delle informazioni utili per eseguire operazioni illecite sul conto corrente della vittima.
A partire da Martedì 9 Marzo D3Lab ha rilevato diverse campagne di phishing ai danni degli utenti del Gruppo Banca Popolare di Bari, attualmente sono state identificate quattro distinte campagne che coinvolgono cinque diversi domini.
La campagna è stata diffusa a mezzo e-mail avvisando gli utenti che è presente un messaggio importante nell’area riservata ed invita l’utente ad accedere al link riportato per visualizzarlo.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2021/03/Phishing_Banca_Popolare_Bari_01.png?fit=1473%2C881&ssl=18811473Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2021-03-10 14:44:442021-03-10 14:45:21Phishing Gruppo Banca Popolare di Bari
In data odierna dall’analisi delle attività di Phishing svolto ai danni degli utenti Italiani è stata rilevata una nuova campagna malevola ai danni della società finanziaria Compass di proprietà del gruppo Mediobanca.
La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc portale-compass[.]com e presumibilmente veicolata tramite messaggi di testo (smishing) ed ha come intento quello di carpire le informazioni di accesso al portale clienti di Compass e un numero telefonico della vittima.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2021/02/Compass_1.png?fit=1422%2C981&ssl=19811422Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2021-02-03 11:35:562021-04-27 22:20:19Campagna di Phishing ai danni di Compass
Striscia la Notizia e Riccardo Trombetta ci hanno nuovamente dato la possibilità di fare awareness spiegando il funzionamento di una truffa denominata “man in the mail”.
Cerchiamo in questo post di descriverne il funzionamento con maggior dettaglio.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2021/01/1774043def3b65-07_0-0001.png?fit=768%2C432&ssl=1432768Denis D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngDenis D3Lab2021-01-27 11:13:162021-01-27 11:24:41Main In the Mail il servizio a Striscia la Notizia
Dopo la campagna di phishing ai danni di BRT che si sta protraendo dallo scorso 18 Novembre con la tredici distinte campagne; in data odierna il nostro gruppo di analisi e contrasto al phishing ha rilevato una nuova minaccia per gli utenti Italiani che coinvolge un altro vettore nazionale: UPS (United Parcel Service).
Come per la campagna ai danni di Bartolini gli utenti vengono avvisati a mezzo email della presenza di una consegna in attesa di recapito da parte del vettore UPS e vengono invitati a pagare 3,99euro affinché il pacco venga effettivamente consegnato.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2020/12/UPS_Phishing1.png?fit=1323%2C1011&ssl=110111323Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2020-12-02 10:56:402020-12-02 11:00:21Campagna di Phishing ai danni di UPS
In data odierna dall’analisi delle attività di Phishing svolto ai danni degli utenti Italiani è stata rilevata una nuova campagna malevola ai danni del vettore nazionale BRT S.p.A. meglio noto come Bartolini.
La campagna è stata diffusa a mezzo e-mail avvisando l’utente che è presente un pacco in attesa di consegna e si richiede un pagamento di 4,36 euro per completare la spedizione che altrimenti verrebbe annullata.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2020/11/BRT_1.png?fit=590%2C644&ssl=1644590Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2020-11-18 15:51:092020-11-18 16:00:18Campagna di Phishing ai danni di BRT
Nell’attività di analisi e contrasto al Phishing durante le ultime due settimane abbiamo rilevato la divulgazione di SMS a clienti di Intesa San Paolo i quali invitano gli utenti ad installare un aggiornamento nel proprio smartphone, mediante il seguente messaggio:
Gentile Cliente Gruppo ISP questo è il link per aggiornare l’app di messaggistica e di Intesa San Paolo.
L’aggiornamento veicola una applicazione Android (APK) denominata “Aggiornamento App” ad oggi rilevata in due distinte varianti, com.datiapplicazione.sms e com.sistemaapp.sms.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2020/10/genymotion-screenshot-1.png?fit=720%2C772&ssl=1772720Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2020-10-01 16:02:472020-10-02 10:15:13Aggiornamento App: Applicazione malevola per intercettare codici OTP di Intesa San Paolo
InBank piattaforma di homebanking sfruttata da molteplici istituti di credito italiani e sviluppata da Allitude S.p.A. è attualmente vittima di una campagna di phishing veicolata tramite domini creati Ad Hoc e presumibilmente brevi di messaggi di testo (smishing).
Dal costante monitoraggio delle attività fraudolente svolto da D3Lab è stata rilevata la registrazioni di due domini in data 21 e 22 Luglio 2020 che sfruttano entrambi la tecnica di typosquatting per confondere l’utente finale e che riproducono la schermata di login del servizio e richiedono all’utente User ID, Password e Numero di Telefono.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2020/07/InBank_Phishing_01.png?fit=1593%2C973&ssl=19731593Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2020-07-22 14:31:542020-07-22 14:58:04Campagna di Phishing ai danni di InBank
Potremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Cookie essenziali del sito Web
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per la consegna del sito web, il loro rifiuto avrà un impatto sul funzionamento del nostro sito web. È sempre possibile bloccare o cancellare i cookie modificando le impostazioni del browser e forzare il blocco di tutti i cookie su questo sito web. Ma questo vi chiederà sempre di accettare/rifiutare i cookie quando visitate il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Altri servizi esterni
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
