A seguito della pubblicazione degli articoli riguardi il phishing contro gli utenti Carrefour

Phishing Carrefour via SMS
Continua il phishing Carrefour via SMS

molti lettori hanno commentato fornendoci utili informazioni relativamente alle modalità di realizzazione della frode e sollevando talvolta qualche dubbio riguardo alla gestione dei loro dati da parte di Carrefour SpA, ipotizzando una fuoriuscita di dati sensibili dalla rete delle società.

A tutt’oggi D3Lab esclude che ciò sia avvenuto.

Abbiamo svolto alcune ricerche contattando via mail parte dei commentatori per avere informazioni di prima mano da chi aveva ricevuto l’SMS fraudolento. Sebbene alcuni commentatori fossero effettivamente  clienti Carrefour, inevitabile vista la presenza sul mercato nazionale di tale marchio, molti altri non lo erano e non sono mai stati clienti Carrefour.

D3Lab ha verificato se i numeri di telefono dei commentatori che lo hanno indicato fossero individuabili in rete attraverso l’uso dei motori di ricerca. Anche tale ipotesi è stata fugata dato che diversi numeri segnalatici non sono risultati presenti sul web.

D3Lab reputa quindi che i criminali, assai semplicemente, abbiano realizzato in modo automatizzato le liste di numeri di telefono a cui spedire i messaggi, procedendo quindi ad un invio indiscriminato di SMS.

A parere di D3Lab quanto supposto da alcuni lettori, riguardo la fuoriuscita di dati dei clienti  Carrefour dalle strutture della società stessa, appare quindi privo di fondamento.


Coloro che volessero fornirci informazioni riguardo alla frode possono indicare nei commenti o in mail spedite a [email protected]:

  • numero di telefono da cui sono inviati gli SMS;
  • sito web indicato nel messaggio per l’adesione all’offerta.

Qualsiasi altra informazione quale:

  • valore dell’eventuale ammanco subito dalle vittime sulla carta di credito;
  • tipologia di spesa fatta dai criminali attraverso l’uso indebito della carta di credito;

è gradita.

Non è il caso che ci contattiate telefonicamente, mail e commenti sono sufficienti.

 

D3Lab spera che le informazioni fornite dai lettori e rese pubbliche nei commenti siano di utilità alle forze dell’ordine ed a Carrefour SpA nel contrasto di queste frodi

Phishing Via SMS

I recenti casi di phishing veicolato via messaggi SMS hanno evidenziato alcune problematiche relative alle attività di contrasto e monitoraggio del fenomeno.
D3Lab ha ritenuto utile esaminarle per comprendere quali potessero essere le azioni più idonee a permettere una tempestiva individuazione delle campagne di attacco al fine di consentire l’applicazione di efficaci azioni di contrasto.

Ne è nato un documento, “Considerazioni sulla modalità di diffusione delle frodi on-line attraverso dispositivi mobili”, indirizzato 

Phishing Via SMS

  

principalmente a CIO/IT Manager ed operatori del settore, pensato quale spunto di riflessione per lo sviluppo di metodiche di gestione e linee operative da adottarsi in risposta alla specifica tipologia di aggressione informatica. 

D3Lab resta in attesa di feedback e considerazioni da parte di operatori del settore e lettori.

Download 

visite agli articoli relativi alla frode

Il 14 Dicembre 2013 abbiamo riportato la presenza in rete di tentativi di phishing a danno dei clienti Carrefour portati attraverso l’invio di falsi sms promozionali in realtà non provenienti dalla rete Carrefour, ma inviati in massa da cyber criminali.

Nella giornata di ieri, primo dell’anno, D3Lab è stata contattata telefonicamente da utenti che richiedevano conferma della veridicità o meno del messaggio giunto sui dispositivi mobili nel quale si prospettava la possibilità di ricevere un buono spesa da 300 Euro:

Carrefour.: Congratulazioni, vai sul sito internet www.carrefourspa.org e richiedi il buono spesa da 300 euro Fondo aiuto alle famiglie MINISTERO SVILUPPO ECON.

L’analisi delle statistiche del nostro sito web ha evidenziato un improvviso interesse per l’articolo relativo alla frode in questione

visite agli articoli relativi alla frode

 

con i visitatori che vi giungono con ricerche mirate a trovare conferma della veridicità di un’offerta tanto allettante.

ricerche dei visitatori

 

L’evidente impennata di visualizzazioni avutasi nella giornata di ieri ed i nuovi commenti inseriti dai visitatori all’articolo dello scorso 14 Dicembre, sono chiari indicatori della diffusione di un nuovo tentativo di phishing, finalizzato a condurre i destinatari dell’sms

impennata visualizzazioni

 

fraudolento sulle pagine clone posizionate all’url www.carrefourspa.org (è un sto truffa, siate prudenti).

Chi desiderasse maggiori dettagli può consultare l’ultimo aggiornamento pubblicato sul blog Edgar’s Internet Tools.

Utilizzando i motori di ricerca si individuano siti in cui sono raccolte segnalazioni relative ai numeri di telefono utilizzati per azioni marketin aggressivo o vere e proprie frodi, da cui traspare, leggendo i commenti, la reale pericolosità di tali minacce

segnalazione utente su tellows.it

 

tanto più che i criminali hanno usato uno strumento, l’sms, utilizzato anche da Carrefour per pubblicizzare le proprie offerte.

Carrefour da parte sua ha pubblicato un warning sul proprio sito web raggiungibile con un link in home page e notizia della truffa è riportata anche sul sito web del Ministero dello Sviluppo Economico.

La frode realizzata attraverso l’uso di SMS consente ai criminali di evadere parte dei controllo messi in atto delle società che si occupano di monitorare e contrastare il fenomeno, prevalentemente orientati ad un analisi di quanto si muove in Internet.

Apparentemente i numeri di cellulare di chi riceve i messaggi sembrerebbero essere stati raccolti dai criminali sul web. Per aver maggiori riscontri invitiamo pertanto chi abbia ricevuto gli sms fraudolenti ad indicarci il proprio numero di cellulare su cui ha ricevuto il messaggio al fine di permetterci di svolgere maggiori ricerche. Ogni dato comunicatoci verrà trattato nel rispetto delle vigenti normative relative a privacy e dati personali, non pubblicato da alcuna parte, né comunicato a terzi, se non alle forze dell’ordine ed alla Magistratura, nel caso tali organi lo ritengano necessario.

Sin da quando D3Lab ha rilevato tale tipologia di attacco si è provveduto a darne notizia a Carrefour ed alle forze dell’ordine, indipendentemente dal fatto che la società non rientri tra i nostri clienti. In questo momento storico, con l’imperante crisi economica,D3Lab ha ritenuto che tale frode rappresenti per le famiglie un insidia reale, da evitare assolutamente, anche se ciò possa significare operare a sfavore delle nostre logiche di mercato e dei servizi da noi  erogati/venduti.

Per tali motivi anche se chi legge queste righe non è desidera fornire informazioni alla nostra azienda, vi invitiamo comunque a segnalare i numeri di telefono mittenti ed i siti web indicati negli sms a Carrefour SpA, consentendo alla società stessa un celere monitoraggio e contrasto dei siti fraudolenti, difficilmente individuabili se non si rientra tra i destinatari scelti dai criminali. 

 

Ulteriori informazioni:

Nessun dump da Carrefour SpA

phishing Venere.com

Dallo scorso marzo i cyber criminali si sono interessati agli albergatori iscritti ai portali di prenotazione alberghiera, realizzando tentativi di frode a danno degli utenti di Venere.com con oltre 20 pagine fraudolente finalizzate alla catture di user name e password, sia attraverso file html allegati alle mail di attacco, sia con pagine clone posizionate in siti violati o domini registrati ad hoc.

phishing Venere.com

In data odierna è stato rilevato un tentativo di phishing a danno degli albergatori iscritti al portale Expidia, partner di Venere.com

mail fraudolenta

 

il cui testo 

———————————————————————

Gentile albergatore,

Grazie alla migrazione a EPC potrà contare su un’ampia gamma di vantaggi, inclusi piani tariffari, avanzate funzionalità di marketing e semplici opzioni di supporto, come assistenza clienti e contabilità. La procedura di migrazione a EPC per il suo hotel è stata avviata. Per approfittare al meglio delle opportunità disponibili per la sua struttura, clicchi sulle tabelle sovrastanti per ingrandire ciascuna sezione e verificare/completare le informazioni necessarie sul suo hotel.

La migrazione del suo hotel a EPC avverrà tra 3 giorni, data della migrazione: 25 dicembre 2013.

Per ricevere le notifiche relative a prenotazioni e cancellazioni via fax, fare clic qui.

———————————————————————

cela sotto la dicitura “fare clic qui” il collegamento ipertestuale alla pagina fraudolenta, inoculata in un sito web thailandese,

pagina fraudolenta

 

 

riproducente i loghi Expedia, nella quale sono richiesti user name e password, inseriti i quali si viene riportati alle pagina legittime del sito Expedia.

D3Lab ipotizza che l’accesso all’account albergatori permetta di leggere le credenziali delle carte di credito su cui le società accreditano all’albergatore la sua percentuale di quanto pagato da chi effettua la penotazione.

snai phishing url

Prosegue il tentativo dei cyber criminali di carpire le credenziali degli utenti del portale di scommesse on-line della SNAI, con i due tentativi odierni si arriva a quattro diverse pagine web fraudolente tutte attive, sebbene il primo rilevamento sia di giovedì 19.

snai phishing url

I messaggi di posta fraudolenti odierni, partiti da indirizzi IP tedeschi, presentano le seguenti caratteristiche:

 

Mittente visualizzato: “Snai Card” <[email protected]>

Oggetto: Snai: novità! Abilita il nuovo sistema di sicurezza sulla tua snai card

testo del messaggio:

—————————————————————————–

Dal 22 gennaio entra in vigore la nuova legge per la sicurezza del tuo account snai.

Per poter  giocare o scommettere online su Sport, Ippica, V7, Totocalcio, Big, Skill games, Giochi, Bingo, Superenalotto, Win for life occorre aggiornare il proprio account cliccando qui

Maggiori informazioni sono disponibili nella sezione Aiuto  e su richiesta all’indirizzo [email protected]

Nei punti vendita contraddistinti dal marchio Punto SNAI presenti su tutto il territorio nazionale è possibile scommettere su Sport, Ippica, Tris, Totocalcio.  

Per trovare i  punti vendita più vicini, e con i prodotti di tuo interesse,  visita la sezione Dove scommettere.

—————————————————————————–

con il collegamento ipertestuale alle pagine fraudolente celato dalla dicitura “cliccando qui”.

mail fraudolenta

 

I rilievi permessi dall’ampio monitoraggio svolto da D3Lab permettono di attribuire la paternità degli attacchi al medesimo gruppo impegnato a colpire di operatori di telefonia mobile, i cui cloni vengono ora inseriti sul medesimo server FortressITX

mail fraudolenta

Il passare del tempo sta evidenziando in modo sempre più lampante come il phishing non sia destinato a finire, ma solo a trasformarsi. I criminali con un minimo di fantasia possono portare le truffe, attraverso l’ingegneria sociale, verso gli utenti di tutti quei servizi per i quali sia un minimo plausibile la richiesta di dati personali o bancari/finanziari.

Negli ultimi mesi si sta assistendo ad un attacco sempre più massiccio verso enti non bancari, dai supermercati ai fornitori di energia, alle telco, ai portali di giochi e scommesse on-line.

Proprio sulle scommesse on-line tornano a colpire i criminali, dopo aver già rivolto in passato l’attenzione a Gioco Digitale ed Eurobet, mirando agli utenti del portale SNAI con un attacco dal sapore classico.

mail fraudolenta

 

Il messaggio di posta fraudolento, partito da un indirizzo IP tedesco, presenta le seguenti caratteristiche:

Mittente visualizzato: Assistenza clienti

Oggetto: ЅNАІ: Տі рrеga ԁi segսіre lе iѕtruzіօոi ոеlle еmaіl. clіеոto: 139367252

Testo del messaggio:

———————————————————————————————————–

A causa della recente perdita di dati, la società SNAI si chiede di accedere subito al sito e controllare il saldo del conto. 

Registrati ora

———————————————————————————————————–

dove “Registrati ora” cela il collagamento ipertestuale che conduce l’utente a visitare la pagina clone, posizionata su un server

pagina clone

 

della francese OVH usato sin dal 13 Dicembre per portare numerosi attacchi ai maggiori operatori di telefonia mobile italiani.

La pagina fraudolenta ha il solo scopo di catturare le credenziali di accesso all’account, visualizzando al loro inserimento un pop-up

pop-up corretta esecuzione

 

di ringraziamento, redirigendo quindi al legittimo sito SNAI.

prima pagina fraudolenta

Con l’approssimarsi delle vacanze era ipotizzabile il ritorno delle frodi inerenti la possibilità di risparmiare sugli acquisti di tutti i giorni e su quelli natalizi.

La nuova ondata di frodi volte a colpire i clienti della catena Carrefour viaggia sui dispositivi di telefonia mobile (cellulari, smartphone e tablet), attraverso sms provenienti dal numero di telefono 3270323258 (numero Wind) che con comunicazioni di questo tipo

Carrefour: Vai sul sito www.carrefourspa.net e richiedi il buono omaggio di 300 euro FONDO MINISTERO SVILUPPO ECONOMICO

forniscono al ricevente i link alle pagine fraudolente riproducenti la grafica già nota, aggiornata con l’inserimento di dell’elemento grafico del carrello con pacco regalo, da tempo presente nella prima pagina, anche nella seconda pagina.

prima pagina fraudolenta

(prima pagina fraudolenta)

 

seconda pagina fraudolenta

(seconda pagina fraudolenta)

Nelle successiva pagine vengono richiesti i dati della carta di credito

richiesta dati carta di credito

 

e simulato il controllo del secure code Visa/Mastercard.

verifica secure code

Sino ad ora sono stati individuati link a due siti/domini differenti

www.supercarrefour.com (attivo dal 5 Dicembre 2012)

www.carrefourspa.net

i quali contengono la sola home page costituita da un frame traente la sorgente rispettivamente da due diversi siti web, entrambi di recente creazione. Per tutti e due gli attacchi i criminali hanno utilizzato i medesimo fornitori di servizio

dettagli provider geolocalizzazione

 

La metodica attuata per veicolare l’attacco è interessante perché pone i criminali in condizione di evadere, per ora, i tradizionali canali di monitoraggio per un certo lasso di tempo. Inoltre sarebbe interessante comprendere come i criminali abbiano composto le proprie liste di numeri di telefono a cui inviare i messaggi di testo fraudolenti. Se siano il risultato di ricerche svolte in rete o se possa trattarsi di dati “fuoriusciti” e correlati a reali utenti/clienti di servizi ed offerte Carrefour. In tale ipotesi i criminali starebbero portando attacchi ad elevato potenziale andando a colpire utenti reali dei servizi della società, già da tempo abituati a ricevere via sms informazioni ed offerte.

 

Update domenica 15 Dicembre 2013:

ulteriori accertamenti hanno portato all’individuazione di un terzo sito/dominio, www.carrefourbuono.org, attivo dal 7 Dicembre, anch’esso strutturato su un unica pagina con frame traente la sua sorgente da www.cadoubrochurpremium.com.

La sorgente del frame inserito in www.carrefourspa.net è invece stata modificata andando a puntare a www.impressioncat.com, questo sebbene le pagine clone posizionate in bussinesscountrymega.com, iniziale sorgente, siano ancora attive.

 

Ulteriori dettagli possono essere tratti dal post “Phishing Carrefour via SMS. Una interessante segnalazione da parte di un lettore del blog (13 dicembre)” e dai successivi su Edgar’s Internet Tools.

 

Ulteriori informazioni:

Continua il phishing Carrefour via SMS

Nessun dump da Carrefour SpA

mail fraudolenta

L’approssimarsi del week-end ha visto tornare all’opera i criminali interessati a colpire gli utenti di Telecom Italia, nel caso specifico del servizio Alice.

In questo caso si è di fronte ad un tentativo di phishing di vecchio stampo, la “consegna” dei dati da parte delle vittime non è infatti veicolata attraverso l’uso di pagine web fraudolente, ma attraverso la risposta allo stesso messaggio di posta elettronica di attacco.

La mail che, come nel caso della scorsa settimana, è partita da un indirizzo IP britannico, presenta le seguenti caratteristiche:

mail fraudolenta

 

Mittente visualizzato: “TELECOM ITALIA” <[email protected]>

Oggetto: **Security Alert** Verify Your Account

testo del messaggio:

———————————————————————————-

Titolare del conto Alice.it attenzione

Questo messaggio è da Alice Account Management Center.

Abbiamo notato attività sospetta nel tuo account su 13/12/2013. Per la tua protezione, è necessario verificare il tuo account in modo da continuare ad usare correttamente il tuo indirizzo email.

Per evitare interruzioni del servizio o possibile disattivazione del proprio account e-mail, è necessario fornire le informazioni richieste di seguito.

Nome:

Data di nascita:

Indirizzo email:

Password:

Conferma Password:

L’inosservanza di questa email porterà a deleating il tuo indirizzo e-mail dalla nostra database di posta elettronica.

Grazie per la vostra comprensione, vi auguriamo una piacevole giornata in avanti.

L’Alice team di supporto tecnico,

Rete webmail account Management Center.

                              ©2013 Telecom Italia, Inc. all rights reserved.

———————————————————————————-

 

Rispondendo alla mail si inviano le credenziali ad un indirizzo mail di gmail.

primo template aggiornato

Si è intensificata, in questo terzo quadrimestre, l’attività dei cyber-criminali a danno dei clienti delle Telco italiane, con l’individuazione di nuovi target, quali Telecom Italia ed i suoi servizi per le imprese, e con l’aggiornamento dei template delle pagine clone.

Già in un tentativo di phishing a danno degli utenti Vodafone dei giorni scorsi si era visto l’utilizzo di un nuovo template, adeguato a quello implementato sulle pagine legittime, con risultati dal punto di vista grafico abbastanza scadenti.

 

primo template aggiornato

 

a distanza di quattro giorno viene portato un nuovo attacco, facendo uso del medesimo sito violato, in cui è stato inserito un nuovo template dalla grafica decisamente più accattivante e curata.

Template del 9/12/13 

 

Il messaggio di posta elettronica fraudolento, partito da un indirizzo IP britannico, presenta le seguenti caratteristiche:

Mittente visualizzato: Vodafone <[email protected]>

Oggetto: Scegli il pacchetto adatto a te

Testo del messaggio (in base64):

————————————————————————————–

Gentile cliente,

Scegli il pacchetto adatto a te completamente gratis.

Ricarica online e i tuoi punti Vodafone one valgono il doppio.

Ricarica adesso

————————————————————————————–

mail fraudolenta

mail fraudolenta

I cyber criminali con l’approssimarsi del week-end, esattamente come avvenuto la settimana scorsa (Phishing Telecom [29/11/2013]), nella giornata di Venerdì 6 Dicembre sono tornati a colpire gli utenti di Telecom Italia, nel caso specifico mirando agli account delle imprese facenti uso del servizio “impresa Semplice”.

 mail fraudolenta

Il messaggio di posta fraudolento, partito da un indirizzo IP britannico, presenta le seguenti caratteristiche:

 

Mittente visualizzato: Impresa Semplice di Telecom Italia <[email protected]>

Oggetto: Aggiorna la tua mail Impresa Semplice di Telecom Italia

Testo della mail  (html):

—————————————————————————————————————————————-

E’ necessario verificare la tua email Clicca qui per verificare

—————————————————————————————————————————————-

Il link porta ad una singola pagina web, riproducente i loghi di Telecom Italia e Tim, inserita in un sito belga basato su WordPress.

pagina web fraudolenta

 

Una volta inseriti i dati l’utente viene riportato sulle pagine web nel corretto dominio Telecom Italia.