Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nella giornata del 12 Marzo la creazione di un nuovo dominio Ad HoC contenente un sito di Phishing ai danni di IBL Banca.

IBL Banca è un istituto di credito italiano, capogruppo dell’omonimo gruppo con sede a Roma. Le sue origini risalgono al 1927, come istituto finanziario che si trasforma poi in banca, nel 2004, e diventa gruppo bancario nel 2008. {Wikipedia}

La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc che sfrutta la tecnica del typosquatting è presumibilmente veicolata tramite messaggi di testo (smishing) ha come intento quello di carpire le informazioni di accesso all’home banking e un numero telefonico della vittima.

Continua a leggere

The Threat Intelligence Team of D3Lab in the analysis and fight against online fraud detected on March 3 the creation of a new Ad Hoc domain containing a phishing site against Italian users of Crypto.com.

Crypto.com is a cryptocurrency exchange app based in Singapore. The app currently has 10 million users and 3,000 employees. {Wikipedia}


The campaing spread through the creation of a new Ad Hoc domain and text messages (smishing) asking to the victim their email, password and phone number

And finally warn the victim that there was an error and they will be contacted. Probably a telephone contact, as much used in the last two years by criminals towards Italian users.

Analyzing the DropZone (where criminals store stolen credentials) 24 hours after domain activation there are more than 20 unique victims.

Domains Email of the victims

The phishing kit analyzed is very similar to multiple phishing kits against Italian banks. It is likely that the same criminals are expanding fraud to other entities/sectors.

Finally, we always advise users to pay attention and never provide their personal information.

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nella giornata del 2 Marzo una nuova campagna di Phishing ai danni di Mooney.

Mooney è il primo operatore italiano di Proximity Banking & Payments nato nel 2019 dall’accordo tra SisalPay e Banca 5 del Gruppo Intesa Sanpaolo!

La campagna diffusa tramite la creazione di uno spazio di hosting gratuito offerta da Preview Domain è presumibilmente veicolata tramite messaggi di testo (smishing) ed ha come intento quello di carpire le informazioni di accesso al portale di Mooney, i dati della carta di credito e un numero telefonico della vittima.

Continua a leggere

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nella giornata del 1 Marzo la creazione di un nuovo dominio Ad HoC contenente un sito di Phishing ai danni de La Cassa di Ravenna.

Il gruppo bancario La Cassa di Ravenna, composto da Banca di Imola, Banco di Lucca e del Tirreno, ItalCredi, Sifin e Sorit, nasce nel 1840 ed ha sede a Ravenna in Emilia Romagna.

La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc e presumibilmente veicolata tramite messaggi di testo (smishing) ha come intento quello di carpire le informazioni di accesso all’home banking e un numero telefonico della vittima.

Continua a leggere

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato un nuovo dominio creato Ad Hoc in data 25 Febbraio che ha come intento quello di carpire documenti di identità delle vittime a fronte di una verifica della certificazione verde COVID-19!

L’utente viene quindi invitato a visitare il sito web malevolo per convalidare il suo Green Pass e vengono richieste alla vittima le seguenti informazioni:

  • Nome e Cognome
  • Documenti di Identità
  • Selfie
  • Tessera Sanitaria

Tali dati è probabile che vengano sfruttati dai criminali per effettuare un furto d’identità e aprire conti correnti, finanziamenti o portafogli di criptovalute a nome della vittima e predisponendo tramite tali risorse illecite attività finanziarie.

Continua a leggere

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nuovo dominio creato Ad Hoc in data 20 Dicembre che riproduce il portale eCovid SINFONIA della Regione Campania per l’emergenza Covid19.

Il portale e-Covind SINFONIA, sviluppato da So.Re.Sa., permette ai cittadini della Regione Campania di accedere alle seguenti funzioni:

  • Certificato delle vaccinazioni Covid-19, anche con dosi addizionali/booster;
  • Prenotazione Open Day;
  • Esiti dei tamponi antigenici, molecolari, rapidi e sierologici;
  • Comunicazione dei codici NRFE, CUN, NUCG;
  • Notifiche push in tempo reale;
  • Monitoraggio dello stato di salute e comunicazione al proprio medico di base;
  • Estendere le funzionalità al proprio nucleo familiare;
  • Accesso certificato tramite SPID e/o biometrico in massima sicurezza.
Continua a leggere
acquisto illecito del greenpass

Negli scorsi giorni l’attività di Brand Monitor svolta dal team di analisti D3Lab al fine di identificare domini sospetti utilizzabili per attività fraudolente ha portato all’identificazione del dominio acquistaregreenpass[.]com

Il dominio risulta essere stato registrato il 23 ottobre scorso facendo uso di servizi di privacy whois, rendendo di fatto impossibile addivenire ad informazioni relative al registrante.

Continua a leggere

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nella giornata del 26 Ottobre la creazione di un nuovo dominio Ad HoC contenente un sito di Phishing ai danni della Banca Cambiano.

La Banca Cambiano 1884 S.p.A. è una banca italiana fondata il 20 aprile 1884 ed è stata la più antica banca di credito cooperativo operante in Italia, si aggiunge pertanto questa realtà Italiana ai tanti istituti di credito colpiti negli ultimi due anni al Phishing; come infatti abbiamo avuto occasione di trattare nel nostro blog dalla fine del 2019 le campagne di phishing ai danni degli istituti di credito italiani hanno subito un esponenziale incremento, oltre il 100%, e anche la ricerca da parte dei criminali di nuove banche da aggredire.

La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc e presumibilmente veicolata tramite messaggi di testo (smishing) ha come intento quello di carpire le informazioni di accesso all’home banking e un numero telefonico della vittima.

Continua a leggere

D3Lab nella quotidiana attività di analisi e contrasto del phishing ha identificato a partire dallo scorso 9 Agosto una campagna di phishing ai danni dei clienti della Banca 5.

Banca 5 fa parte del gruppo Intesa Sanpaolo dal 2016 e vuole fornire tramite una vasta rete di tabaccai un servizio bancario alla clientela poco “bancarizzata”.

La campagna diffusa tramite la probabile compromissione di un dominio e la relativa creazione di un sottodominioio Ad Hoc è presumibilmente veicolata tramite messaggi di testo (smishing) ha come intento quello di carpire le informazioni di accesso al home banking (UserID e Password) e un numero telefonico della vittima.

Continua a leggere

Nella giornata di lunedì 2 agosto, il team di analisti D3Lab ha individuato un forum underground nel deep web in cui veniva condiviso gratuitamente un file contenente un milione di record relativi a titolari di carta di credito.

Ogni record contiene i seguenti dati:

[Dati_carta: Numero_CC Scadenza CVV] Nome_Cognome_Titolare [residenza: Stato Città Indirizzo CAP]

Un esame in base allo stato di residenza ha portato ad individuare circa 30.000 carte intestate a soggetti residenti in Italia.

Continua a leggere