falso documento agenzia entrate

Nella giornata odierna si è rilevato il tentativo di frode volto a catturare i dati degli utenti attraverso la semplice risposta alla mail fraudolenta.

I messaggi di posta elettronica individuati riportano il medesimo oggetto “Italia non residenti modulo fiscale”  ed il medesimo testo

Attenzione: Caro non residente gentilmente di compilare questo modulo in allegato e tornare alla e-mail qui sotto per il nostro aggiornare ufficio. Cordiali saluti Agenzia delle Entrate Agenzia Consulente

il cui italiano assolutamente sgrammaticato si spera non tragga in inganno alcuno.

In allegato è presente un archivio zip denominato Attachments_2013124.zip contenente due file jpg:

 

Document1.jpg

falso documento agenzia entrate

dovrebbe essere all’apparenza la comunicazione da parte dell’Agenzia delle Entrate al destinatario della mail. Il testo della comunicazione oltre a non rappresentare alcuna richiesta al destinatario, appare non avere coerenza logica, in particolare vi è una totale discrepanza tra i paragrafi con interlinea di 1,5 righe e quello successivo.
Ricercandone il testo in rete si identifica una sola pagina “http://www.fiscooggi.it/analisi-e-commenti/articolo/ritenute-non-residenti-redditi-d-impresa-e-di-lavoro-autonomo-2” da cui i truffatori potrebbero aver tratto i paragrafi con interlinea maggiore

testo copiato dai truffatori

facendo apparentemente un semplice copia/incolla.

L’ultimo paragrafo sembrerebbe invece tratto direttamente dal sito dell’Agenzia delle Entrate

testo ripreso dai criminali

 

Document2.jpg

falso modulo

la seconda immagine riproduce invece un modulo per il rimborso di cui si individuano versioni similari in rete e potrebbe per tanto essere copia di uno di essi.
In esso oltre ai dati anagrafici, di residenza ed al codice fiscale vengono richieste le coordinate bancarie del ricevente.

I criminali richiedono l’invio del modulo compilato in risposta al messaggio con cui è giunto. Facendo riferimento alle due mail fraudolente rilevate si evidenzia come la prima 

Received: from 188.xxx.xxx.250 ([188.xxx.xxx.250])         (SquirrelMail authenticated user [email protected])         by 166.78.57.243 with HTTP;         Thu, 31 Jan 2013 19:11:37 -0600 From: [email protected] To: [email protected] Return-Path: <[email protected]>

possa rappresentare un errore di composizione ed invio (da indirizzo ip britannico) in quanto pur presentando l’indirizzo ingannevole [email protected] lo trova inserito nel campo “To:” presentando invece quale indirizzo per il percorso di risposta quello dell’utente usato per accreditarsi presso il server di posta, come evidenziato dagli headers.

Sembrerebbe che dopo circa una mezz’ora i criminali, accortisi del disguido abbiano provveduto ad un secondo invio, da indirizzo ip nigeriano, questa volta inserendo l’indirizzo destinato a raccogliere le risposte nel modo corretto

Received: from [197.yyy.yyy.2] (port=60034 helo=User) by linuxpro with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.80) (envelope-from <[email protected]>) id 1U15gp-0005OU-Tv; Thu, 31 Jan 2013 19:46:38 -0600 Reply-To: <[email protected]>

Ad un primo superficiale esame i dettagli linguistici lascerebbero ipotizzare che il tentativo di frode possa essere opera di stranieri.
L’utilizzo di immagini, presumibilmente risultati di scansione digitale, è giustificabile con il tentativo da parte dei truffatori di non diffondere indizi nelle proprietà di documenti editati con suite d’ufficio?

mail fraudolenta

Con il nuovo anno è ripresa la diffusione di malware attraverso false comunicazioni di posta elettronica da DHL, noto spedizioniere con diffusione globale. 

Dalla giornata di ieri, 22 Gennaio, sono già giunte 4 mail, tutte recanti la seguente comunicazione:

Caro cliente,

Il corriere della nostra societa non e riuscito a consegnare il pacco a Suo indirizzo.
Motivo: Lerrore nellindirizzo della consegna.
Lei potra personalmente ricevere il pacco presso Suo ufficio postale.
Lei ha da stampare questo documento per poter ricevere il pacco nellufficio postale.
 

Alla presente lettera e allegato il documento postale.


La ringrazio.
DHL Italiano. 

Gli oggetti con cui le mail si presentano sono due

  1. “Vogliate ricevere Suo pacco.”
  2. “Un errore nel recapito della consegna.”

mentre i 4 differenti indirizzi email mittenti apparenti riportano tutti il dominio dhl.it.

mail fraudolenta

i link nascosti dal codice html  portano a due diversi url, entrambi ancora attivi, ieri su dominio saudita, oggi su dominio panamense.

Visitando il link con user agent di Internet Explorer si ottiene il download di un archivio zip denominato DHL_IT_ID0976442_234.zip contenente un file eseguibile con nome DHL_IT_ID652372_234.exe, che sottoposto a VirusTotal risulta essere riconosciuto quale malware solo da undici software antivirus dei 46 in uso al portale, vedasi report.

Per l’invio dei messaggi di posta elettronica sono stati utilizzati quattro diversi host, a dimostrazione che gli aggressori non hanno problemi di disponibilità.

La particolarità dei messaggi è che se visualizzati in solo testo, non con il codice html originale, mostrano parti di brani letterari che rimangono celati alla visualizzazione in html.

Le mail di attacco ricevute lo scorso anno, sempre utilizzando il brand DHL e rivolte ad utenti italiani, portavano il malware direttamente in allegato.

Si spera che l’italiano sgrammaticato dei messaggi sia notato dalla gran parte di coloro che hanno ricevuto i messaggi.

Come

pagina clone Carrefour Banque

Dal secondo semestre 2012 gli utenti di Internet francesi sono stati prepotentemente presi di mira dalla cyber criminalità. Nell’arco di pochi mesi i phisher sembra abbiano realizzato che la Francia rappresenti un terreno ancora fertile in cui colpire con frodi sempre nuove: attacchi agli utilizzatori delle carte di credito, dei servizi finanziari delle poste francesi, delle banche.
Da un certo punto di vista si può considerare quello degli internettiani francesi come un campo di battaglia di test: contro gli utenti delle rete di Oltralpe sono stati diretti i primi attacchi miranti a colpire gli utenti di società di fornitura energetica (EDF), così come del gruppo BNP Paribas. Entrambe gli attacchi sono successivamente stati replicati in Italia con Agip/Eni d il Gruppo Hera per quanto riguarda le società legate all’energia e con lo stesso Gruppo BNP Paribas.

E’ di oggi il tentativo di frode a danno degli utenti di Carrefour Banque, la società del Gruppo Carrefour SpA deputata all’erogazione di servizi finanziari ed alla gestione delle carte di credito emesse dak gruppo.

 Come osservabile dagli screenshot sottostanti le pagine web fraudolente realizzate per frodare i clienti francesi di Carrefour mirano a raccogliere i dati anagrafici ed i codici delle carte di credito.

pagina clone Carrefour Banque

pagina clone Carrefour Banque

pagina clone Carrefour Banque

pagina clone Carrefour Banque

Le pagine fraudolente erano inserite nello spazio web del dominio carref0ur-2013.com creato ad hoc su Yahoo nei primi giorni dell’anno:

Domain Name………. carref0ur-2013.com   Creation Date…….. 2013-01-04   Registration Date…. 2013-01-04   Expiry Date………. 2014-01-04   Tracking Number…… 1770723461_DOMAIN_COM-VRSN   Organisation Name…. Visconti JOCELYNE   Organisation Address. 136 Allee du Saint Eynard   Organisation Address.    Organisation Address.    Organisation Address. SAINT NAZAIRE LES EYMES   Organisation Address. 38330   Organisation Address. FR   Organisation Address. FRANCE

quasi sicuramente a nome di persona inesistente o coinvolta a sua insaputa nella frode.

Il recupero dei log http in modo del tutto lecito ha permesso di verificare l’effettiva presenza di un elevato numero di visitatori francesi

provenienza visitatori

che hanno raggiunto le pagine clone prevalentemente dalle mail box Microsoft ed in misura minore da quelle di Orange France.

provenienza visitatori

L’elevato numero di visite da ip statunitensi è da imputarsi all’attività di società di sicurezza, enti di studio e bot.

Questa nuovo frode sembra confermare le previsioni espresse nell’esame di dati raccolti nell’arco dello scorso anno, con:

  • un calo delle frodi volte alla conquista dei codici di home banking a favore di quelle finalizzate ad utilizzi fraudolenti delle carte di credito;
  • l’interesse dei criminali per quegli enti non specificamente individuabili quali banche, non in senso classico almeno.

In ambito internazionale, sempre dalla seconda metà del 2012, si è anche assistito alle medesima tipologia di frode nei confronti degli utenti delle carte di credito emesse dalle finanziarie del gruppo Tesco, collegato all’omonima catena di supermercati ampiamente diffusi nel mondo anglosassone.

Il 2013 riserverà anche ai clienti italiani di Carrefour Banca questa minaccia?

 

pagina clone Carrefour Banque

Depuis le deuxième trimestre 2012, les utilisateurs d’Internet français ont été violement attaqués par les criminels informatiques. En quelques mois à peine les phishers semblent avoir réalisé que la France représente un terrain encore fertile où il est encore possible de frapper au moyen de nouvelles fraudes: des attaques contre les utilisateurs des cartes de crédits, des services financiers de la poste française et des banques.

D’un certain point de vue on peut considérer que les utilisateurs d’Internet en France constituent un champ de bataille test: contre les utilisateurs du Net résidant au-delà des Alpes ont été dirigées les premières attaques visant à frapper les bénéficiaires de fourniture électrique (EDF), tout comme du groupe BNP Paribas. Ces deux attaques ont par la suite été répétées en Italie avec Agip/Eni et avec le Gruppo Hera pour ce qui est des sociétés liées à l’énergie et avec le Gruppo BNP Paribas lui-même.

La tentative de fraude aux dépens des utilisateurs de Carrefour Banque a eu lieu aujourd’hui, la société du Groupe Carrefour SpA spécialisée dans les services financiers et dans la gestion des cartes de crédits émises par le groupe. Continua a leggere

segnalazioni raccolte per quadrimestre

Il 2012 si è da poco concluso consentendo di verificare un netto incremento di url unici di attacco tra il primo ed il terzo quadrimestre.

segnalazioni raccolte per quadrimestre

Il raddoppio del numero di segnalazioni raccolte è in parte imputabile all’affinamento della capacità di rilevare gli attacchi di phishing ottenuto con l’entrata a regime di tools e procedure sviluppati e affinati man mano che l’azienda si avvicina a festeggiare il primo anno di operatività effettiva.

Nell’ultimo quadrimestre del 2012 i 642 url unici di attacco, rilevati nei messaggi di posta elettronica o negli allegati ad essi, hanno fatto riferimento a 542 differenti domini/indirizzi ip, il che consente con semplicità di rilevare come parte di questi venga riutilizzata in più attacchi.

Enti colpiti dal phishing nel 3° quadrimestre 2012

Il grafico sottostante mostra chiaramente gli enti verso i quali i tentativi di frode sono stati una costante nell’arco dell’anno appena conclusosi.

Esaminando l’andamento degli attacchi nell’arco di tutto l’anno si può notare come gli tra i cinque enti più colpiti dal phishing, 

attacchi di phishing nell'arco del 2012

la minacci agli utenti/clienti di quattro di questi fosse sostanzialmente volta ad impadronirsi dei codici di carte di credito, mentre solo nel caso di Banca Popolare dell’Emilia Romagna ad essere prese di mira fossero le funzionalità di home banking.

L’esame degli attacchi agli enti distribuiti nei tre quadrimestri mostra come dalla seconda metà dell’anno i phisher abbiano orientato il

Attacchi di phishing nei tre quadrimestri del 2012

proprio operato non solo nei confronti di istituti bancari o di emissione di carte di credito, ma anche nei confronti di società di servizi per l’utilizzo dei cui servizi è plausibile la richiesta dei dati delle carte di credito.
Da giugno si è potuto assistere a tentativi di frode nei confronti degli utenti Telepass, Gioco Digitale, Vodafone, Wind e verso la fine dell’anno, facendo leva sulla crisi economica che mette in affanno el famiglie, sfruttando quindi la promessa di false offerte per l’acquisto di carburante e di rimborsi, anche nei confronti di Eni/Agip e del Gruppo Hera.

In panorama internazionale si assiste invece alla scoperta da parte dei cyber criminali di nuove terre di conquista, con tentativi di frode volti a colpire utenti di banche asiatiche, nord africane e dei paesi arabi.

Relativamente alle metodiche di attacco si nota una netta flessione sia nell’uso di redirect che degli allegati html/htm/mht contenenti form da visualizzarsi e compilarsi in locale.

modalità di attacco

Il calo degli url unici di attacco utilizzati per i tentativi di frode portati attraverso form allegati non deve far in realtà pensare ad un calo assoluto di tale metodica, si è rilevata infatti una forte persistenza, o capacità di sopravvivenza, delle pagine php (generalmente) utilizzate per la gestione delle credenziali inviate dai form, con alcune di esse che risultano essere riutilizzate in attacchi anche a distanza di diverse settimane.

Il calo nel numero di url unici di attacco utilizzati quali redirect e invece reale e da imputarsi sostanzialmente ad un temporaneo cambio di modalità operativa da parte del gruppo criminale, presumibilmente romeno, che di tale metodica aveva fatto una sua costante almeno dalla seconda metà del 2009.
Solo nelle ultime settimane dell’anno appena concluso tale gruppo sembra star facendo ritorno a tale metodica, da essi ampiamente collaudata. 

 

Previsioni per il 2013

A fronte dei monitoraggi effettuati dal 2009 ad oggi risulta estremamente complesso lanciarsi in previsioni riguardanti la minaccia phishing.
Enti molto colpiti un anno sono stati quasi ignorati quello successivo, mentre istituti mai attenzionati prima sono poi stati colpiti duramente. 
Sicuramente alcuni enti con un elevato numero di utenti operanti con carte di credito e prepagate rimarranno una costante.
Gli italiani riceveranno ancora moltissime mail fraudolente relative a Carta Si e Poste Italiane. Potrebbe esservi un incremento dei tentativi di frode nei confronti degli utenti Visa, anche se in realtà nei tre quadrimestri si è registrato un calo progressivo, mentre Mastercard rimane al momento ancora troppo poco diffusa per rappresentare un obiettivo pagante.

Un certo interesse potrebbe esercitarlo nei cyber criminali la nuova carta fedeltà e pagamento Eni, di cui si sta assistendo alla pubblicizzazione da alcune settimane, si sa che le novità attirano sempre una certa attenzione, come avvenuto in passato per Lottomatica, molto colpita nel 2011. 

Sul lato home banking si è assistito ad un calo di interesse da parte dei criminali, presumibilmente a causa dell’adozione da parte di diversi istituti di strumenti hardware OTP e di metodiche di autenticazione via cellulare. I phisher potrebbero andare alla ricerca di quegli istituti che ancora operano senza tali strumenti, facendo magari uso delle password dispositive, o riversando comunque l’attenzione su quegli istituti che, seppur proteggendo i clienti con autenticazioni robuste, possono vantare un ampio bacino di utenti.
In tali casi la cornice grafica dei siti di home banking, fedelmente riprodotti in pagine fraudolente, verrà utilizzata semplicemente per mettere a proprio agio il cliente/utente al fine di ingannarlo e convincerlo a cedere i codici delle carte di credito, come in tutto l’anno passato si è visto ripetere ad esempio con Unicredit e San Paolo Intesa.

La possibilità che i criminali si orientino verso enti non bancari, ma deputati alla semplice fornitura di servizi potrebbe rappresentare un trend in aumento, a tali frodi si da ancora poco risalto e potrebbero rappresentare un terreno fertile per i phisher nell’arco dell’anno appena cominciato.

mail fraudolenta

Come D3Lab aveva da tempo prevista i cyber criminali stanno volgendo la loro attenzione a tutti quei servizi, non direttamente bancari, per i quali è plausibile un pagamento o rimborso attraverso carta di credito.
L’odierno target dei criminali è il Gruppo Hera, società che fornisce a privati, professionisti ed amministrazioni pubbliche servizi energetici e ambientali (smaltimento rifiuti). 

La mail individuata invita il destinatario a cliccare sul link proposto al fine di ottenere un rimborso di di 373,80 euro.

 

mail fraudolenta 

Il link porta ad una singola pagina fraudolenta, riproducente grafica e loghi del Gruppo Hera, nella quale

pagina web fraudolenta

 

vengono richiesti dati i personali e e quelli relativi alla carta di credito. Data conferma dei dati si viene portati al sito trusted del Gruppo Hera.

L’esame dell’header del messaggio di posta elettronica fraudolento mostra chiaramente come lo stesso sia stato inviato attraverso una

Mail headers

pagina php inserita ad hoc in un sito web violato, presumibilmente attraverso una nota vulnerabilità di wordpress.

Giovedì 29 Novembre, presso la Sala Convegni Fondazione PescarAbruzzo si è tenuto il convegno VIOLENZA INFORMATICA — CYBER ATTACK: di.f.e s.i.? organizzato dal SIULP (Sindacato Italiano Unitario Lavoratori Polizia), finalizzato a sensibilizzare la comunità pescarese e abruzzese riguardo le minacce presenti in rete con le quali i più si confrontano in modo del tutto inconsapevole ed impreparato.

D3Lab ha partecipato con l’intervento “Phishing fast and furious” mirante ad evidenziare la pericolosità sempre attuale rappresentata dal phishing e la sua convenienza per i cyber criminali.

{slideshare}{/slideshare}

mail fraudolenta

L’attività di monitoraggio degli attacchi di phishing ha consentito di individuare nella prima mattina odierna un tentativo di frode volto a colpire gli utenti italiani della rete, veicolato attraverso un messaggio di posta fraudolento con il quale viene proposto da Agip un forte sconto per l’acquisto di cinquanta litri di carburante.

mail fraudolenta

E’ immediatamente possibile notare come l’indirizzo mittente visualizzato sembri essere parte del dominio legittimo agip.it. L’indirizzo ip mittente indica invece come la mail sia partita da un host collegato alla rete Telecom Italia Mobile.

 

Il dominio visualizzato nel link proposto fa capo ad un dominio registrato nelle isole Samoa, nell’Oceano Pacifico, solo tre giorni fa.

Seguendo tale link il visitatore giunge a pagine fraudolente riproducenti la grafica ed i loghi di Agip/Eni

pagine fraudolente 

 

posizionate nello spazio web di un dominio tedesco registrato a febbraio 2012.

La prima pagina di “benvenuto” viene seguita dalla richiesta dei codici della carta di credito

 

richiesta codici carta di credito

 

che sono verificati lato server.
Nel caso la carta risulti essere emessa da Poste Italiane al visitatore sono richiesti anche i dati di login dell’account presso tale ente.

 

richiesta fraudolenta login Poste 

Apparentemente i criminali eseguono il controllo sull’account Poste e gestiscono le credenziali a seconda che il login sia stato possibile o meno, quindi che le credenziali siano valido o no.

I criminali hanno già raccolto una decina di codici di carte di credito validi.

Il centralino romano di Eni S.p.A. non è riuscito a metterci in contatto telefonico con alcun addetto alla sicurezza, la società è stata avvisata via fax.

A margine del tentativo di frode in questione risulta interessante rilevare dalla pagina di HTTrack Website Copier presente nel sito usato per l’attacco quali siano gli enti/istituti che i criminali operanti intendono colpire

httrack project

 

Update: martedì 20 Novembre 2012:

nella prima mattina odierna i criminali hanno cambiato il layout della pagina clone

nuovo layout pagina fraudolenta

senza aver tuttavia l’accortezza di modificare il titolo della stessa presente nei tag meta.
L’informazione ricavata fornisce riscontro all’ipotesi che gli autori di tale attacco siano gli stessi dei recenti tentativi di frode a danno degli utenti Vodafone e Wind.

Il dominio utilizzato per l’attacco non è più disponibile.

Update 21 Gennaio 2013:

le informazioni di Eni/Agip agli utenti in relazione ai tentativi di frode.

Venerdì 9 Novembre a Pesaro, presso l’Hotel Cruiser, si è tenuto il convegno, organizzato dall’Ordine Avvocati di Pesaro,  “CRIMINI INFORMATICI 2012 – Indagini Digitali in ambito Giudiziario e Forense”  al quale D3Lab ha partecipato con l’intervento “Identità digitali violate: Phishing” volto ad evidenziare i rischi e le problematiche legate alla sottovalutazione della minaccia phishing.

{slideshare}{/slideshare}

Police Advisor Team Training

L’impegno della coalizione militare internazionale impegnata in Afghanistan, di cui l’Italia fa parte, si è orientato verso l’obbiettivo di rendere la nazione Afghana autonoma nel far fronte alle proprie esigenze di sicurezza. Il raggiungimento di tale fine passa attraverso la formazione delle forze armate e di polizia afghane.
L’Italia  partecipa a tale impegno attraverso il dispiegamento in teatro di operazioni dei Police Advisor Team, unità costituite da personale delle nostre Forze Armate che svolgono l’azione di mentoring a favore del neonato law enforcement afghano.

Police Advisor Team Training

D3Lab ha avuto l’onore di essere chiamata a collaborare all’addestramento dei nostri militari impegnati quali Police Advisor Team trasmettendo le proprie competenze in materia di repertamento delle evidence digitali con lezioni tenute presso il Reggimento Addestrativo Aosta del Centro di Addestramento Alpino dell’Esercito (ex Scuola Militare Alpina) di Aosta.

Onorati del compito assegnatoci!