struttura pagina di phishing

Phishing Equitalia …caccia alle credenziali di login

Il nome Equitalia non rappresenta un novità in ambito phishing, più volte negli ultimi due anni i criminali hanno confezionato false mail apparentemente inviate da questa SpA sotto totale controllo pubblico operante nella riscossione tributi sulla quasi totalità del territorio nazionale.

Sino ad ora il phishing a marchio Equitalia era stato sfruttato dai criminali principalmente per la diffusione di malware. Tuttavia il 13 Luglio si è assistito alla diffusione di una classica mail di phishing finalizzata non alla diffusione di malware ma alla raccolta delle credenziali di login per l’accesso al servizio Equitalia.

Mail di phishing Equitalia

La mail fraudolenta, che sembrerebbe partita  da un indirizzo ip tedesco, presenta le seguenti caratteristiche: Continua a leggere

/da

Pokemon Go – Le truffe impazzano

 

Logo_Pokémon_Go

 

In Italia non è ancora arrivata l’applicazione Pokemon GO, ma in tutto il mondo è già un vero tormentone. La nuova applicazione sviluppata da Nintendo permette all’utente di giocare attraverso il proprio smartphone iOS o Android sfruttando la realtà aumentata e la tecnologia GPS.

Il videogioco ha sollevato un furore mediatico che l’azienda non percepiva dai tempi della Wii, le azioni di Nintendo hanno raggiunto quota 26 dollari con un rialzo massimo del 14%. Il più alto rialzo dal 1983 ad oggi per l’azienda.

pokemon1_col-750x698 pokemon1_line

In base ai dati pubblicati dalla SurveyMonkey il gioco è il più utilizzato negli USA e l’utilizzo medio quotidiano per utente ha superato i due Social Network Snapchat e Twitter.

L’attesa snervante per gli utenti Europei, che ancora non posso scaricare l’applicazione e la forte richiesta del gioco hanno creato dei market-place paralleli per il mercato Android in cui è possibile scaricare il software. Peccato che la società di consulenza proofpoint abbia individuato la presenza di un malware nell’applicazione diffusa nei market-place di terze parti.

Ma un mercato così vasto non ha solo alimentato la creazione di malware, ma sono in corso anche campagne di Phishing con domini creati ad-hoc. Campagne che promettono all’utente la vincita di Poké Coins a patto di condividere il sito internet su Facebook e una volta effettua la condivisione l’utente viene poi reindirizzato in un ulteriore sito internet in base alla sua localizzazione. Quest’ultimo sito promette buoni spesa, formazione lavorativa, ecc a patto di inserire i propri dati personali (Nome, Cognome, eMail, Residenza). Tali dati verranno sfruttati probabilmente per campagne intense di Spam, ma conclusa la procedura ovviamente non si ottiene alcun Poké Coins.

Attraverso il nostro monitoraggio di brand, nelle ultime 72h sono stati registrati un alto numero di domini attinenti:

  • 762 nuovo domini contenenti la keyword: pokemon
  • 406 nuovi domini contenenti la keyword: pokemongo
  • 59 nuovi domini contenenti la keyword: pokego
  • 32 nuovi domini contenenti la keyword: pokemons
  • 19 nuovi domini contenenti la keyword: pokemon-go
  • 7 nuovi domini contenenti la keyword: pokeball
  • 6 nuovi domini contenenti la keyword: gopokemon
  • 3 nuovi domini contenenti la keyword: getpoke
  • 1 nuovo dominio contenente la keyword: go-pokemon
  • 1 nuovo dominio contenete la keyword: pokemonsgo

Non sono state rilevate nuove registrazione a nome dei tre personaggi principali del gioco: Squirtle, Bulbasaur e Charmander.

Tra questi domini abbiamo analizzato pokemons-go.com, è stato registrato il 12 Luglio 2016 e richiede la condivisione su Facebook per ottenere il premio. In totale è stato condiviso 5220 volte, commentato 1330 volte e ha ottenuto 578 “Mi Piace”. Per un totale di 7128 interazioni sul Social Network Facebook.

Di seguito vi riportiamo gli screenshot di alcuni siti internet fraudolenti:

Questo slideshow richiede JavaScript.

 

 

 

 

 

 

 

/da
sito phishing Creval

Phishing ai danni del Gruppo Valtellinese

In data odierna abbiamo individuato un tentativo di frode  a mezzo di posta elettronica a danno dei clienti di Credito Valtellinese

20160704130047

 

Il messaggio di posta elettronica fraudolento presentava le seguenti caratteristiche:

Oggetto: Password Scaduta

Mittente: “Credito Valtellinese” <[email protected]>

Testo  del messaggio

————————————————————————

Attenzione. La tua password è scaduta, per poter completare il login, accedi  cliccando qui

————————————————————————

Il collegamento ipertestuale presente nella mail svolge una funzione di redirect che porta i visitatori a una pagina fraudolenta dove vengono richiesti i dati di login dell’account.

 

crop_1467630316

 

Dalle analisi effettuate si è rilevato, nel primo trimestre dell’anno in corso, due attacchi di phishing isolati, forse il test di funzionamento del kit impiegato per la massiccia campagna di phishing rilevata nel mese di Giugno.

I criminali autori di questi attacchi sembrano prediligere l’impiego di host posizionati nel sud est-asiatico (Indonesia e Korea).

/da

Falso avviso di spedizione del corriere GLS

GLS_Finta_Comunicazione

Una nuova andata di ransomware giunge agli utenti attraverso eMail solo apparentemente inviate dal vettore nazionale GLS. Il messaggio di posta con oggetto “GLS Italy – Notifica spedizione E4 369026685” informa l’utente che l’azienda “CASTELLARI SRL” ha inviato un collo al destinatario “CLIENTE SRL” e che è possibile seguire lo stato d’avanzamento della spedizione direttamente sul sito di GLS all’indirizzo riportato.

Selezionando l’indirizzo “http://www.gls-italy.com/track_trace_user.asp?locpartenza=E4&numsped=369026685” avviene il download di un file compresso in formato ZIP denominato “informazionispedizione.zip” contenente un JavaScript che ha l’onere di scaricare ed eseguire il malware. Il file JavaScript confonde l’utente sfruttando la doppia estensione .PDF.JS ed è stato offuscato per impedire un immediata analisi.

Analizzando l’Header dell’eMail rileviamo lo sfruttamento di una casella eMail del Gruppo Buffetti per l’invio massivo del Phishing, è probabile che ignari utenti siano entrati in possesso delle credenziali della casella di posta e l’abbiano sfruttata per inviare le comunicazioni fraudolente.

GLS_Header_eMail

La scansione su VirusTotal, dopo pochi minuti dalla ricezione dell’eMail, del file .cab scaricato dal downloader JavaScript riporta il rilevamento della minaccia da parte di soli 3 Antivirus su 53.

GLS_Malware

 

/1 Commento/da

Phishing ai danni del Gruppo Hera

Phishing Gruppo Hera

 

Durante l’analisi quotidiana delle attività di Phishing nazionali ed internazionali abbiamo rilevato una nuova campagna ai danni del Gruppo Hera Coom, i Phisher sfruttano il logo e il nome della società leader nei servizi ambientali, idrici ed energetici con sede a Bologna per carpire vittime con la stessa tecnica che abbiamo visto recentemente anche per il gruppo Edison.

L’utente informato mediante eMail che ha diritto ad un rimborso dal Gruppo Hera per un errato conteggio della sua fattura viene invitato a visitare un sito internet per completare la procedura di rimborso. Il sito internet fraudolento che vediamo nell’immagine di apertura richiede all’utente di digitare i suoi dati personali e i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società Bolognese. I dati inseriti nel sito fraudolento verranno sfruttati per addebitare cifre indesiderate sulle carte di credito delle vittime e non per accreditargli l’atteso rimborso.

Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.

/da
clone phishing Banque Postale

Phishing Banque Postale FR

Nella nostrà attività svolgiamo un monitoraggio costante incentrato non solo sul phishing italiano, ma anche straniero, prestando attenzione a quei paesi europei che presentano un trend di attacchi in crescita. Tra questi vi è la Francia, che vede Banque Postale come uno dei target più bersagliati dai criminali. L’esame delle casistiche non di rado porta ad individuare cloni di enti stranieri inseriti nel medesimo sito violato che ospita anche cloni di enti italiani, palesando come i criminali agiscano in maniera traversale e godano di strutture posizionate nei diversi paesi, attaccando La Banque Postale, ma anche istituti di credito italiani. Continua a leggere

/da

Phishing Banque Postale FR

,

Dans notre activité nous effectuons un monitorage constant qui met l’accent non seulement sur le phishing italien mais aussi sur celui étranger, prêtant une attention particulière aux pays européens qui présentent une augmentation des attaques. Parmi ces pays figure la France où la Banque Postale est l’une des cibles de prédilection des criminels. L’examen des listes permet fréquemment de trouver des clones d’institutions étrangères insérés au sein même du site violé qui héberge également des clones d’institutions italiennes, illustrant la manière dont les criminels agissent de manière transversale, bénéficiant de structures situées dans les différents pays, attaquant la Banque Postale, mais aussi les instituts de crédits italiens.

Le graphique reproduit ci-dessous montre clairement la forte croissance des attaques contre la Banque Postale (ainsi que cela a été relevé par le D3Lab), héritier financier du groupe «La Poste» qui propose des services bancaires et financiers.

Continua a leggere

/da

Diffusione di Malware crittografati, decrittografati dal JScript

 

eMail Malware Crittografato

Una recente tecnica sfruttata per diffondere ed eseguire malware attraverso un downloader JScript consiste nel crittografare il malware. Il file JScript in allegato all’eMail e compresso in formato .zip come nell’immagine di apertura non ha il solo compito di scaricare ed eseguire il file eseguibile ma avrà l’onore di decodificare quest’ultimo.

Per rendere il download più trasparente agli Antivirus viene sfruttata la crittografia, rendendo di fatto il malware un file innocuo. Il beneficio di questa tecnica è facilmente visualizzabile nella seguente immagine, il portale VirusTotal eseguendo la scansione del malware crittografato sfruttando oltre 50 antivirus NON riesce ad identificare il file come malevolo. Inoltre si previene l’inserimento nelle BlackList o RBL (Realtime Blackhole List) del sito internet in quanto all’apparenza non sta generando traffico malevole.

VirusTotal Malware Crittografato

La tecnica è assolutamente efficace per non far determinare all’antivirus che è in corso il download di un file malevolo che una volta decrittografato viene correttamente rilevato quale malware da quasi il 40% di Antivirus disponibili su VirusTotal.

VirusTotal Malware CrittografatoProcedendo ad una decodifica del file JScript possiamo analizzare più dettagliatamente il funzionamento di questa tecnica.

JScript deoffuscatato

Come possiamo visualizzare dall’immagine precedente, il file JScript che si presenta codificato esegue inizialmente la creazione di un Array contenente 3 URL dal quale può scaricare il malware crittografato. Vengono indicati tre differenti url poiché se il primo url non è più disponibile si procederà ad eseguire il download dal secondo sito e così via. Tutti siti internet che risultano essere compromessi.

Successivamente viene inizializzata una variabile contenete la path della directory Temporanea dell’utente, tale variabile viene sfruttata per salvare il file scaricato dagli url precedenti che verrà salvato con il nome i8aBHu1RbJvtm. Una volta scaricato e salvato il malware crittografato viene rinominato aggiungendo l’estensione .exe (i8aBHu1RbJvtm.exe). Successivamente verrà richiamata la funzione KFEy3 che ha l’onere di eseguire la de-crittografia del malware.

Il file scaricato e crittografato viene de-crittografato attraverso una sostituzione monoalfabetica, ovvero la sostituzione di un testo cifrato con un testo in chiaro in base a regole precedentemente stabilite. Durante la de-cifratura, ad ogni porzione del codice cifrato viene associata la corrispondente porzione del codice in chiaro.

Una volta de-crittografato viene avviato e nell’immagine seguente vediamo le conseguenze dell’avvio.

2016.05.27_Screenshot_1007220

Si tratta di un ransomware!

/da

Falsa querela diffonde Malware via eMail

Malware Querela eMail

In data odierna abbiamo rilevato una nuova importante campagna di diffusione Malware a mezzo eMail: per adescare l’utente nella trappola viene sfruttata una finta comunicazione di Querela per Diffamazione Aggravata. Continua a leggere

/da
Phishing prevenzione: Riconoscimento e identificazione

Attività formativa “Phishing prevenzione: Riconoscimento e identificazione”

Phishing prevenzione: Riconoscimento e identificazione

Ha preso il via nella giornata di ieri l’attività formativa D3Lab in tema di phishing.

Il corso “Phishing prevenzione: Riconoscimento e identificazione” mira ad illustrare caratteristiche, natura, pericolosità di questa tipologia di minaccia non volgendo la propria attenzione unicamente all’utenza customers, ma illustrando i rischi connessi alle aziende, i possibili conseguente attacchi “man in the mail”, il furto di dati e progetti aziendali e lo spear phishig.

about spear phishing

La lezione, della durata variabile da 2 ore e mezzo a 4 ore, dipendentemente dall’interazione con la classe, ha come target personale generico, risultando idonea a far conoscere la minaccia phishing a personale amministrativo, uffici di segretaria e quadri (i più colpiti dallo spear phishing).

phishing WhatApp

La presentazione risulta particolarmente utile per il personale di call center e di filiale che per primo si trova ad interloquire con il cliente ed identificando la minaccia descritta dall’utente customer può raccogliere i dati rilevanti che trasmessi agli assenti anti-frode e sicurezza consentono l’attivazione delle idonee azioni di contrasto.

procedura raccolta dati dal cliente per call center e filiali

Le società interessate possono contattarci per offerte mirate ai riferimenti indicati nella pagina “contatti“.

/da