Phishing tramite falso Social Care ai danni degli utenti Postepay

Nella quotidiana attività di monitoraggio dei Social Network effettuata per individuare le segnalazioni da parte di utenti della comunità di eMail o SMS di Phishing abbiamo rilevato un crescente numero di utenti che lamentava di essere stati truffati tramite Facebook a seguito di un contatto con la pagina ufficiale Postepay di Poste Italiane.

A quanto si è potuto appurare le vittime contattano la pagina certificata Postepay tramite l’invio di un messaggio pubblico, usualmente per chiedere supporto o per segnalare eventuali malfunzionamenti dei servizi da loro sottoscritti. Il social care ufficiale di Poste Italiane provvede a rispondere all’utente pubblicamente e nel caso vi fosse la necessità di effettuare ulteriori verifiche lo inviata ad inviare un messaggio privato alla pagina ufficiale contente il codice fiscale e il numero di cellulare. Il truffatore rilevando il messaggio pubblico dell’utente e la relativa risposta ufficiale del social care anticipa l’utente inviandogli un messaggio privato tramite un falso profilo Facebook simulando un vero operatore del servizio clienti. Il falso profilo invia inizialmente un messaggio alla vittima identificandosi tramite un nominativo ed un codice operatore e chiederà alla vittima come può essere utile per la risoluzione del problema. Instaurata la comunicazione il truffatore procede a richiedere il codice fiscale alla vittima, tramite tale dato è possibile determinare se la vittima è registrata o meno sul portale online di Poste Italiane. Qualora l’utente sia già registrato al portale online il truffatore procede a richiedere ulteriori dettagli alla vittima fingendosi interessato a risolvere il reale problema, realmente l’intento è quello di circuire il cliente di Poste Italiane al fine di eseguire addebiti illeciti sulla sua carta di credito prepagata con la complicità dello stesso cliente ignaro della truffa.
Qualora l’utente non sia registrato, il truffatore procederà alla registrazione sul portale di Poste Italiane assieme alla vittima al fine di associare la carta prepagata al nuovo profilo ed eseguire la procedura già descritta nel precedente punto.
Il truffatore è in grado di identificare se la vittima è registrata o meno al portale di Poste Italiane sfruttando la funzione di recupero credenziali, infatti il portale online riporta chiaramente se il codice fiscale è associato ad un cliente o meno.

Abbiamo dato evidenza della nostra analisi a Poste Italiane la quale ci informa che il Computer Emergency Response Team del Gruppo Poste Italiane è a conoscenza del fenomeno e lo sta contrastando con tutti i mezzi a sua disposizione. Il servizio di Brand Protection fa monitoraggio dei canali social per verificare che non vi siano usi impropri dei marchi Poste Italiane. Una volta identificati profili che utilizzano il marchio impropriamente, fa richiesta al canale social per il blocco del profilo stesso. Purtroppo i profili vengono spesso chiusi e aperti in diversi momenti, creando difficoltà nella identificazione e segnalazione. Si fa presente che Poste Italiane ha già informato i propri clienti riguardo tale fenomeno fraudolento, attraverso i canali di comunicazione a sua disposizione.

Simulazione

Al fine di rilevare complessivamente la procedura seguita dai truffatori abbiamo simulato tramite un profilo Facebook la necessità di ricevere supporto dalla pagina Postepay di Poste Italiane. Il 22 Giugno abbiamo inviato il seguente messaggio per richiede al social care su una ipotetica impossibilità di eseguire un pagamento su un noto sito di e-commerce.

Dopo alcuni minuti il profilo “Valentina Minni” con foto profilo ritraente un logo di Poste Italiane provvede a richiederci l’amicizia. Link profilo: https://www.facebook.com/valentina.minni.3939 (copia http://archive.is/omi58)

Il falso profilo di Valentina Minni inizia successivamente a scriverci tramite Facebook Messanger, presentandosi inizialmente con un falso codice operatore e ci chiede come può aiutarci. Spiegata la nostra, falsa, problematica riguardante l’impossibilità di effettuare un pagamento causa blocco del 3D Secure il falso operatore ci avvisa che tale servizio va attivato e ci invita ad indicargli il nostro codice fiscale.

Fornendogli un Codice Fiscale generato in maniera casuale ma attinente al nome del profilo Facebook, il truffatore ci avvisa che non siamo registrati sul sito di Poste Italiane e ci invita ad effettuare la registrazione assieme a lui al fine di attivare il 3D Secure.

Come scusa abbiamo indicato che la carta prepagata era intestata alla moglie della probabile vittima e che normalmente venivano sfruttate le credenziali della signora per eseguire il login al portale di Poste.

 

Dopo alcuni secondi dall’ultimo messaggio il profilo Facebook del truffatore è stato sospeso, probabilmente a seguito della segnalazione di un’altra probabile vittima.

Il truffatore non si da per vinto e dopo pochi minuti veniamo contattati nuovamente da un secondo profilo, sempre denominato Valentina Minni ma avente un ID Facebook differente.
Link profilo: https://www.facebook.com/valentina.minni.376 (copia http://archive.is/BRniX)

Abbiamo messo noi ora in atto una tecnica di ingegneria sociale per poter carpire maggiori dettagli del truffatore. Con la scusa di avere i documenti della moglie su DropBox abbiamo condiviso un link al truffatore, enfatizzando la comunicazione con messaggi di vita quotidiana della vittima completamente insignificanti nella risoluzione della problematica.

Il link riportato nella realtà non portava ad alcun documento DropBox ma ad una pagina inesistente sul portale di file sharing, passando però da una pagina intermedia che aveva il compito di carpire alcuni dettagli del truffatore.

Nello specifico abbiamo potuto stabilire l’User Agent del truffatore e il suo indirizzo IP. Il primo dato ci mostra che sfrutta un computer con Microsoft Windows, presumibilmente Windows 7, e il browser Google Chrome, mentre il suo indirizzo era 151.57.29.28.

Tale indirizzo IP risulta essere Italiano e un sevizio di geolocalizzazione lo identifica nelle vicinanze di Napoli.

Questa indicazione, che potrebbe essere certamente falsificata tramite l’uso di Proxy, VPN o rete TOR, convalida un altro sospetto che avevamo fin dall’inizio, ovvero che il truffatore parla un Italiano perfetto, conosce anche la forma di cortesia è l’uso dei pronomi Lei usualmente sconosciuta o di difficile apprendimento per una persona straniera.

Successivamente abbiamo continuato la conversazione, poiché totalmente ignari dell’operazione di tracciatura da noi svolta, scusandoci per non essere riusciti a inviargli i documenti e rimandando la conversazione non appena la finta moglie sarebbe rientrata dal lavoro.

I truffatori hanno poi sottolineato l’importanza della presenza della signora e del suo cellulare poiché fondamentale per concludere l’operazione di attivazione del servizio, ovvero fondamentale per poter ricevere il codice OTP di disposizione di una ricarica postepay.

Concludiamo invitando gli utenti a prestare massima attenzione e di verificare di essere in contatto con la pagina ufficiale di Poste Italiane, sfruttando la funzionalità del badge di verifica offerta da Facebook.

 

/2 Commenti/da

Virgilio Mail: si conferma un obiettivo per i Phisher

Lo scorso Marzo vi parlammo di una crescente campagna di Phishing ai danni del portale webmail di Virgilio, trascorsi tre mesi dalla prima segnalazione confermiamo il trend e l’uso costante di dominii creati ad hoc per ingannare l’utente.

 

Il grafico precedente mostra le segnalazioni rilevate da settembre 2017 fino al 12 Giugno 2018, la linea di tendenza infine ci permette di confermare il trend in crescita.

L’attacco di Phishing ha esclusivamente il compito di carpire l’username e la password della webmail, dati importanti perché permettono ad un attaccante di:

  • Sfruttare l’account email della vittima per inviare spam, phishing e/o malware;
  • Leggere eventuali conversazioni confidenziali.

Quest’ultima possibilità non rappresenta un rischio solo per la privacy, ma anche per le finanze delle vittime! Poter individuare il personale della filiale di banca con il quale la vittima interloquisce permette ai criminali di scrivere loro da un indirizzo email noto, simulando la necessità di contante a causa di un imprevisto occorso durante un viaggio all’estero, oppure se la vittima ha una propria attività e la mailbox è usata per lo scambio di documenti lavorativi, potrebbe permettere ai criminali di individuare una fattura inviata ad un cliente che, editata con le coordinate bancarie di un conto corrente nella disponibilità dei truffatori, potrebbe causare il dirottamento del pagamento.

/da

Phishing ai danni di Eni Gas e Luce

Lo scorso week end abbiamo rilevato la prima attività di Phishing ai danni di ENI Gas e Luce del 2018, l’attacco è stato diffuso tramite una eMail che prometteva un falso rimborso di 41,30euro a favore della vittima. Tale modalità è spesso usata per attività di Phishing ai danni di enti Energetici o Telefonici, la vittima attratta da questo rimborso viene invitata a compilare un modulo online con i dati della propria carta di credito, carta che verrà sfruttata per effettuare addebiti illeciti.

Il gruppo Eni non è certamente un nuovo target per i Phisher, nel 2012 rilevammo un dominio creato Ad-Hoc per fare phishing a loro danno. Pratica ad oggi molto consolidata ma raramente usata prima del 2015 in ambito Italiano.

 

Come sempre vi ricordiamo di fare massima attenzione alle eMail che ricevete ed evitare di fornire i dati della propria carta di credito a terzi.

/da

Phishing ai danni di Virgilio tramite dominii Ad hoc

Virgilio Mail è la piattaforma di WebMail offerta gratuitamente da Italiaonline S.p.A. ampiamente sfruttata da diversi utenti Italiani, i primi attacchi di Phishing a loro danno li abbiamo rilevati nel 2017 come vi abbiamo mostrato lo scorso settembre. Nel primo trimestre del 2018 abbiamo rilevato un trend decisamente in crescita a conferma che Virgilio è un target apprezzato dai Phisher.

Dal 1 Gennaio 2018 ad oggi abbiamo rilevato 13 nuove segnalazioni di Phishing nove di esse sfruttano domini appositamente creati per ingannare l’utente, ovvero:

  • virgilio-387246834310[.]com
  • virgilio-387246834312[.]com
  • virgilio-387246834313[.]com
  • virgilio-387246834314[.]com
  • virgilio-387246834315[.]com
  • virgilio34985794[.]com
  • virgilio34985795[.]com
  • virgilio34985796[.]com
  • virgilio34985798[.]com

La rilevazione di queste segnalazioni di Phishing è stata possibile grazie all’attività di Brand Monitor che svolgiamo per monitorare la registrazioni di nuovi dominii eventualmente sfruttabili per attività illecite come il Phishing, la diffusione di Malware, lo spear phishing e le frodi attraverso vendita o acquisto di servizi e prodotti.

L’intento del Phisher nelle segnalazioni ad oggi rilevate è di carpire le credenziali della eMail dell’utente. Invitiamo pertanto gli utenti a fare massima attenzione e controllare il sito web che si visita.

/1 Commento/da

Phishing attack against Hetzner

Hetzner is a very important web service provider in Europe, the first week of February 2018 we detected a Phishing attack to fraud their users.

Users were invited to confirm their access credentials to the “konsoleH” portal, a portal used to access webmail or managing Internet domains.

Once the credentials (eMail and password) were entered, the victim was asked for their personal data in addition to the credit card details.

In the last period Phishing attacks against Web Providers (OVH, Register, Serverplan, Keliweb, etc.) are definitely growing rapidly.

We always invite users to pay maximum attention. We conclude with a gallery of screenshots of phishing pages.

 

/da

Phishing ai danni di Subito.it

Subito.it è probabilmente il principale sito di compravendita tra privati in Italia, dall’analisi dei nuovi dominii registrati (Brand Monitor) che quotidianamente eseguiamo per contrastare e analizzare il Phishing ieri 1 Marzo 2018 abbiamo rilevato la registrazione di un dominio sospetto.

Monitorando costantemente il contenuto di tale dominio, inizialmente irraggiungibile, abbiamo individuato nella tarda serata di ieri sera la presenza di un kit di Phishing ai danni di Subito.it. La pagina fraudolenta, che vedete nello screenshot iniziale, richiede alla vittima le proprie credenziali (eMail e password) per accedere al portale di compravendita, digitate le quali l’utente viene poi indirizzato al sito ufficiale.

Subito.it ha da alcuni mesi introdotto la possibilità di visualizzare la storicità di un venditore, mostrando da quanto tempo è registrato e quanti annunci ha pubblicato, per prevenire le frodi sul portale e dare maggiore fiducia ad un possibile acquirente.

Il Phisher impossessandosi delle credenziali di un venditore storico potrebbe modificare gli annunci esistenti o crearne di nuovi e attuare una truffa verso possibili acquirenti, avvalendosi della fiducia che il compratore ha nei confronti di venditori con una ampia storicità di vendite.

/da

Spear Phishing – Analisi e Contrasto

D3Lab opera da diversi anni nell’analisi e nel contrasto del Phishing ai danni dei principali Istituti Bancari Italiani o Big Corporate, negli ultimi anni si è però maggiormente affermato il fenomeno dello Spear Phishing con una crescita nel 2017 di oltre il 1000% come sottolinea il ClusIT.

Spear Phishing: Indica un tipo particolare di phishing realizzato mediante l’invio di Email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è tipicamente quello di ottenere accesso ad informazioni riservate di tipo finanziario, a segreti industriali, di stato o militari. {CERT Nazionale}.

I phisher che adottano questa tecnica hanno una profonda conoscenza delle vittime e realizzano campagne di Phishing Ad hoc su servizi o applicazioni che la vittima usa quotidianamente.

Dalle immagini sovrastanti si può notare una campagna di Spear Phishing eseguita ai danni di una multinazionale che sfrutta per l’appunto i servizi di Microsoft Office 360 e DropBox, alcuni dipententi hanno ricevuto una eMail con un documento HTML allegato. Aprendo tale documento viene richiesta la conferma delle credenziali per accedere ai sopracitati servizi. Il phisher ha l’obiettivo di ottenere le credenziali degli utenti per poter accedere alle loro caselle mail e proseguire le attività illecite richiedendo per esempio bonifici bancari o eseguendo ordini verso altre società.

Il Team di D3Lab è intervenuto contrastando di questo fenomeno ottenendo la disabilitazione dei server Brasiliani e Australiani a cui venivano inviate le credenziali.

/da

Phishing ai danni di Carrefour Banca

Carrefour Banca, succursale di Carrefour Banque in Italia, è un istituto di credito Italiano che subisce attività di Phishing dal 2013 con un andamento statistico non lineare. Nel 2013 rilevammo complessivamente dodici segnalazioni, nel 2014 undici segnalazioni, nel 2015 non abbiamo rilevato alcun attacco, infine nel 2016 e nel 2017 un solo attacco.

Per il 2018 invece stiamo rilevando un trend in crescita che porterebbe gli attacchi di Phishing nel 2018 superiori a quelli del 2013. Infatti nei primi 45 giorni del 2018 abbiamo già rilevato 3 attacchi di Phishing.

Attacchi di Phishing a danno di Carrefour Banca

 

L’utente viene invitato a confermare le proprie credenziali di accesso al Home Banking e successivamente a compilare le informazioni della propria carta di credito.

Infine viene richiesto l’inserimento del codice OTP ricevuto dalla vittima sul proprio cellulare per autorizzare l’addebito sulla carta di credito.

L’ultimo attacco di Phishing rilevato il 14 Febbraio coinvolge due distinti dominii web compromessi e sfrutta, per vanificare l’immediata efficacia delle BlackList, la generazione di directory casuali così che ogni visitatore visualizzi un URL diverso dai precedenti.

Come sempre invitiamo gli utenti a prestare la massima attenzione alle comunicazione via SMS o eMail che ricevono.

/1 Commento/da

Phishing ai danni di Register.it

Register.it, parte di Dada Company, è un noto provider Italiano che offre dal 1999 i suo servizi nel mercato Italiano. Come abbiamo già avuto modo di mostrare nei precedenti articoli stiamo rilevando, dall’ultimo trimestre del 2017, un notevole incremento di attività di Phishing ai danni di Web provider Europei.

Tutte le attività di Phishing si accomunano nella richiesta di credenziali (username, email e password) per ottenere l’accesso ai pannelli di amministrazione dei dominii web o alle webmail ed infine alla regolarizzazione di un falso problema di fatturazione tramite l’inserimento dei dati della propria carta di credito.

Register.it, come potete vedere nel grafico seguente, ha subito attacchi di Phishing di modesta entità nel 2015 e 2017 ma nei primi 45 giorni del 2018 abbiamo già rilevato otto segnalazioni, un trend decisamente in crescita che potrebbe vedere il 2018 concludersi con oltre sessanta attacchi.

 

Di seguito trovate una galleria di screenshot di un kit di Phishing sfruttato ai danni di Register, come anticipato inizialmente alla vittima viene richiesto di regolarizzare un problema di fatturazione tramite l’inserimento dei dati della propria carta di credito. Successivamente il phisher richiedere per ben due volte il codice OTP della vittima, ovvero il codice che l’utente riceve tramite SMS o visualizza nel proprio token fisico. Questo codice permette ai malviventi di eseguire addebiti sulla carta di credito della vittima.

/da

Infraud: evidenze del traffico di carte di credito Italiane

Vasta rete di commercio illecito di Carte di Credito

Mercoledì 7 febbraio 2018 è emersa la notizia dell’avvenuta operazione internazionale di polizia denominata “Infraud“, operazione che ha portato alla scoperta di un grosso traffico illecito di carte di credito fruttando ingenti somme di denaro all’organizzazione criminale che da anni opera in questo specifico settore.

Le operazioni, come riportato da justice.gov, sono iniziate nel corso del 2010 e tra i soggetti sottoposti nei giorni scorsi agli arresti per aver preso parte attivamente all’organizzazione criminale, vi è un italiano conosciuto con lo pseudonimo di “Dannylogort“.

Si è ipotizzato, e indagini interne a D3Lab lo hanno confermato, che l’illecito abbia coinvolto anche carte di credito afferenti ad istituti bancari italiani.

La rete di commercio

Costo delle carte varia da un minimo di 80$ per 24 carte ad un massimo di 9500$ per 3670 carte

La rete di commercio mostrata in figura rappresenta solo una parte dei 977 domini individuati dal team di ricerca D3Lab, tutti ospitati sul medesimo server e registrati utilizzando 12 domini di primo livello, di cui:

  • 75 domini .biz
  • 13 domini .cc
  • 1 domini .club
  • 328 domini .com
  • 6 domini .info
  • 4 domini .me
  • 16 domini .name
  • 37 domini .net
  • 13 domini .org
  • 76 domini .ru
  • 386 domini .su
  • 22 domini .top
  • 1 dominio .onion

L’operazione è stata denominata “Infraud” per via dello slogan “In Fraud We Trust” adottato dall’organizzazione criminale, ma indagini interne evidenziano un collegamento diretto tra il termine “infraud” e specifici forum registrati con nome dominio “infraud.*” orientati al mercato nero delle carte di credito.

Da analisi svolte nell’ambito del traffico illecito delle carte di credito, il team di ricerca D3Lab ha rilevato evidenze che documentano ancora oggi la presenza e, plausibilmente, l’attività online dei forum individuati, mentre il forum “libertyreserve.com” indicato dai media come covo dei criminali risulta attualmente sottoposto a sequestro.

Istituti italiani coinvolti

Ulteriori analisi hanno evidenziato tracce a partire dal 2011 e 2012 di compravendita di carte afferenti istituti bancari italiani. Al momento ne sono stati individuati 8 tra istituti bancari e finanziari:

Di seguito la lista degli Istituti interessati:

  1. Unicredit banca roma bussiness
  2. Omissis
  3. Banca Nazionale del Lavoro
  4. Deutche bank milan
  5. Cartasi Spa
  6. ICCREA Banca Spa
  7. Banca Intesa Spa
  8. Key Client Cards & Solution Spa

Come si evince dagli screenshot, ad occuparsi della compravendita di carte italiane era proprio il napoletano “Danny Logort” molto attivo su diversi forum di settore. In particolare, sono state rilevate conversazioni nei forum dedicati tra quest’ultimo e utenti stranieri interessati all’acquisto di carte italiane. Nella conversazione “Danny Logort” faceva da garante per conto di un fornitore esterno, e forniva come referenza il fatto che questi lavorasse presso un hotel cinque stelle italiano, lasciando così intendere che l’acquisizione delle carte “fresche” avvenisse direttamente nel luogo di lavoro.

Si presume, dall’analisi delle fonti consultate nel deep web, che l’acquisizione delle carte poste in commercio avvenisse tramite l’utilizzo di dispositivi elettronici meglio noti come “skimmer” e non da attività di phishing o di hacking volto alla compromissione di siti web di transazioni o commercio online.

/da