Mascherina elettrica

In questi giorni in cui il virus imperversa in Italia e nel mondo e le persone muoiono, nasce in tutti, forte, il desiderio di proteggere se stessi e i nostri cari dal virus. La mascherina FFP2/3, il dispositivo di protezione individuale (DPI), da portare sul viso per filtrare l’aria inalata attraverso bocca e naso proteggendoci dai virus è diventato ormai un presidio introvabile. Le mascherine chirurgiche, o quelle da ferramenta, buone nel migliore dei casi solo a filtrare l’aria espirata evitando che un contagiato asintomatico possa diffondere il virus sono introvabili anch’esse.

In questo panorama di paura strisciante i prezzi di questi dispositivi sono saliti alle stelle, le Forze di Polizie e l’Autorità Giudiziaria sono intervenute sequestrando mascherine non a norma ed indagando soggetti disposti a lucrare sulla disgrazia.

Come è facile immaginare Internet rimane il territorio di movimento preferibile per i truffatori perché attraverso la sua realtà trans-frontaliera rende complesse e lunghe le indagini. In tale contesto i truffatori bombardano gli utenti, ansiosi acquirenti di dispositivi di protezione, con improbabili vendite di presidi DPI e sui social vediamo comparire ovunque pubblicità ad essi inerenti.

Tuttavia, come più prolissamente proveremo a spiegare nel seguito, molti di questi annunci pubblicitari fanno capo a truffe.

Non comprate mascherine attraverso gli annunci sui social, o se proprio siete tentati leggete tutto l’articolo per capire come riconoscere un venditore affidabile da un probabile truffatore. Continua a leggere

mail sextorsion

Nella giornata odierna D3Lab sta rilevando una intensa campagna con invio di numerose email di estorsione sexy, che arrivano anche in successione ai medesimi destinatari.

Le email presentano l’utilizzo di tre differenti oggetti:

  • I RECORDED YOU!
  • YOU GOT RECORDED!
  • VIDEO OF YOU!

I messaggi di posta presentano tutti il medesimo testo, illustrato nell’immagine sottostante, dove l’unica parte di testo che cambia è il Mail-Client-ID all’ultima riga.

mail sextorsion

Le mail vengono ricondotte alla medesima campagna ed al medesimo autore, banalmente, dall’utilizzo del medesimo indirizzo Bitcoin 19DNX7dsEMzeuZU8RfaAoNNVVUDJPc6KCU verso il quale effettuare il pagamento del riscatto. Continua a leggere

Phishing Intesa San Paolo CoronaVirus

Phishing Intesa San Paolo CoronaVirusNella giornata odierna il nostro centro di analisi e contrasto al Phishing ha individuato una campagna malevola ai danni degli utenti Intesa San Paolo veicolata mediante una falsa informativa alla tutela dei clienti dell’istituto bancario per lo stato di allerta presente nel nostro paese a causa del CoronaVirus.

L’eMail invita la vittima ad accedere al servizio online per leggere una comunicazione urgente inerente alla diffusione del Corona Virus.

Selezionando il link riportato nella comunicazione si viene reindirizzati ad un sito di Phishing, in cui la vittima è invitata a digitare le proprie credenziali dell’Home Banking.

Continua a leggere

D3Lab nella quotidiana azione di analisi e contrasto al Phishing e Malspam ha rilevato nella notte odierna la diffusione di un malware Android della famiglia Banker Anubis mediante falsa fattura di Enel Energia.

L’utente è invitato a visitare un sito web per scaricare la fattura insoluta, nella realtà la fattura è una applicazione in formato APK per il sistema operativo Android.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Continua a leggere

D3Lab nell’azione costante di monitorare nuove attività di Phishing ai danni degli utenti Europei ha rilevato una nuova campagna malevola ai danni di Tophost, hosting provider Italiano fondato nel 2004.

La diffusione avviene mediante una eMail che informa l’utente che il proprio dominio è stato sospeso e lo invita a procedere al pagamento mediante carta di credito, come visibile dal seguente screenshot.

Continua a leggere

Dalla tarda serata di ieri 21 Ottobre abbiamo rilevato una importante campagna di Phishing ai danni di TNT Italia, l’intento dei criminali è quello di carpire le credenziali di accesso al portale myTNT delle vittime.

È la prima campagna, Italiana, che rileviamo con queste finalità ai danni di TNT, in passato avevamo rilevato altre attività malevoli che sfruttavano il logo della nota compagnia di trasporti ma per diffondere malware.

L’attacco di Phishing è veicolato mediante eMail e invita l’utente a verificare il proprio indirizzo in quanto non risulta reperibile. La mail spedita dall’indirizzo [email protected] risulta ovviamente spoofato (falsificato) per rendere la comunicazione più veritiera.

Invitiamo quindi come sempre gli utenti a prestare la massima attenzione e non fornire credenziali o informazioni personali sul web senza aver verificato l’autenticità del sito web.

Phishing ai danni di N26L’introduzione della nuova direttiva europea sui servizi di pagamento digitali, nota con la sigla PSD2, è un veicolo di attacco molto importante per i Phisher! Infatti abbiamo già rilevato diverse campagne di Phishing ai danni di Poste Italiane o Intesa San Paolo che falsificano una comunicazione informativa dell’istituto bancario per carpire informazioni sensibili degli utenti.

Ma è anche un veicolo per colpire nuovi enti che fino ad ora non avevano mai ricevuto, almeno in Italia, attacchi di Phishing! Infatti in soli tre giorni abbiamo rilevato dodici distinte campagne di phishing ai danni di N26 GmbH in lingua Italiana.

L’attacco è veicolato inizialmente tramite una eMail priva di errori grammaticali, caratteristica comune di tante altre comunicazioni di phishing, ed inoltre presenta un layout analogo alle comunicazioni ufficiali ben realizzato.

Continua a leggere

D3Lab nella azione costante di monitorare nuove attività di Phishing ai danni degli utenti Italiani ha rilevato in data odierna la diffusione del malware Anubis per smartphone Android mediante una falsa promozione dell’operatore telefonico TIM.

L’utente è invitato a visitare un sito web creato Ad Hoc per attivare una offerta che gli garantisce 10Gb di traffico internet gratuito, per attivarla è necessario scaricare un applicazione Android in formato APK.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Inoltre, il Trojan è in grado di alterare le impostazioni più profonde del dispositivo compromesso abilitando o manomettendo le impostazioni di amministrazione del dispositivo, per visualizzare le attività in esecuzione e creare una backdoor per il controllo remoto attraverso il virtual network computing (VNC).

Invitiamo pertanto gli utenti a visitare il sito ufficiale di TIM per conoscere nuove offerte e non consultare link ricevuti via SMS.

 

IoC (Indicatori di Compromissione):

 

 

 

Carola

Italian language version

Operating daily within the field of OSINT activities, we often encounter the difficulty of making possible customers understand what the potential and usefulness of this type of activity might be. Another problem is making the customer understand what the difficulties and limitations of this type of activity could be, where years of television series have accustomed us to seeing the geek operatives of CSI, NCIS, etc… retrieving any information about a person with a just click.

We could face two differente situations:

  1. the target is too active on the web: analists should be submerged by data and find really interesting data could be very hard.
  2. the target is savvy enough about privacy stuffs to not leave data behind.

We could indeed find ourselves in two extreme situations:

  • in the first, the target is too active in the web, analysts will therefore find themselves overwhelmed by an excess of information in which it is almost impossible to identify specific facts of real utility;
  • in the second, the target is a subject that is particularly attentive to their privacy and analysts will find themselves in the situation of not being able to identify any type of information on the net.

In this context, Carola Rackete, Sea-Watch 3 commander, represents an interesting case history: in the media it was reported that it was impossible to find evidence confirming the details of the curriculum she published on LinkedIn (1). Indeed, the complete absence of any such evidence was alleged, given that Carola doesn’t have any social media profile apart from LinkedIn.

So we decided to perform a simulation aimed to verify what an OSINT research can lead starting from information about Carola freely available on-line.

So, we decided to perform a simulation aimed at verifying the results that OSINT research can achieve starting from information about Carola that was freely available on-line.

Premise: each piece of information, document and image presented in this post is freely available on-line and can be consulted by anyone based on the privacy setting of the owners.

Continua a leggere

Carola

English version

Operando giornalmente nell’ambito dell’attività OSINT ci scontriamo spesso con la difficoltà di far comprendere ai possibili clienti quali possono essere potenzialità e utilità di questo tipo di attività.
Un altro problema è far comprendere al cliente quali possono essere le difficoltà e i limiti di questa tipologia di attività, laddove anni di serie televisive ci hanno abituato a vedere gli operatori geek di CSI, NCIS, ecc..  recuperare qualsiasi informazione su una persona con un solo click.

Ci si potrebbe infatti trovare in due situazioni estreme: nella prima il target è troppo attivo nell’ambito web, gli analisti si troveranno quindi sommersi da un eccesso di informazioni in cui è complesso individuare quelle di reale utilità; nella seconda il target è un soggetto particolarmente attento alla propria privacy e gli analisti si troveranno nella condizione di non riuscire a individuare in rete informazioni di alcun tipo.

In tale contesto Carola Rackete, comandante della Sea-Watch 3, ha rappresentato un interessante case history: sui media è stato riportato dell’impossibilità di trovare riscontri al curriculum dalla stessa pubblicato su LinkedIn(1), nonché della sua presunta assenza dal panorama digitale, non avendo lei alcun profilo social (LinkedIn a parte).

E’ stata quindi svolta una simulazione al fine di verificare i risultati delle attività di ricerca ed analisi che potessero identificare Carola partendo dalle varie informazioni pubblicamente reperibili.

Premessa: ogni informazione, documento, immagine presente in questo articolo è individuabile on-line e consultabile da chiunque in base alle impostazioni di condivisione e privacy settate dai rispettivi proprietari/titolari. Continua a leggere