Da qualche anno chi utilizza le carte di credito per acquisti on-line si è abituato ad utilizzare il Secure Code, quella password aggiuntiva in assenza della quale non è possibile perfezionare gli acquisti on-line anche conoscendo tutti i dati (pan, data emissione, data scadenza, titolare, cvv).

Dal sito di CartaSì possiamo leggere

 —————————————————-

Con il nome convenzionale 3D Secure si definiscono i sistemi di protezione antifrode Verified by Visa e SecureCode MasterCard studiati dai Circuiti Internazionali Visa e MasterCard.

Attivare la protezione antifrode ti garantisce una tutela extra per i tuoi acquisti online, permettendoti di prevenire eventuali utilizzi illeciti della tua Carta sul web e di evitare addebiti indesiderati sul tuo conto. Anche se non sei solito fare acquisti su Internet, con l’iscrizione al servizio 3D Secure, avrai una garanzia di sicurezza per la tua Carta ed eviterai che il tuo numero di Carta venga usato per pagamenti su web a tua insaputa. 

La protezione antifrode è un sistema semplice e gratuito per fare acquisti su web: devi solo scegliere una password che utilizzerai al momento del pagamento insieme ai dati della tua carta di credito. Durante l’acquisto, dopo aver inserito i dati richiesti dall’esercente, comparirà una finestra pop-up dove ti basterà inserire la password, e il pagamento sarà completato in tutta sicurezza.

 

—————————————————-

mentre da quello di Master Card

MasterCard SecureCode

D: Che cos’è MasterCard® SecureCode?

R: Il servizio MasterCard SecureCode è un protocollo di sicurezza che permette all’utente di associare alla propria Carta MasterCard una password personale e segreta (il SecureCode) che gli verrà richiesta per autenticare la transazione di pagamento ogni volta che effettuerà un acquisto online su un sito convenzionato con MasterCard SecureCode.

D: Come funziona MasterCard SecureCode?

R: Dopo che ti sarai registrato e avrai creato il tuo SecureCode riservato, la banca emittente della tua carta ti chiederà automaticamente di digitare il tuo SecureCode ogni volta che fai un acquisto presso i negozi/commercianti online aderenti. Il tuo SecureCode sarà rapidamente confermato dall’emittente della tua carta per finalizzare l’acquisto. Il tuo SecureCode non verrà mai comunicato al negozio/commerciante e usarlo è veramente facile.

D: In che modo MasterCard SecureCode mi protegge?

R: Il corretto inserimento del SecureCode durante un acquisto presso un negozio/commerciante online aderente conferma che sei il titolare autorizzato della carta. Se viene inserito un SecureCode inesatto, non sarà possibile finalizzare l’acquisto. Anche se qualcuno conosce il numero della tua carta di credito o debito, l’acquisto non può essere finalizzato presso il negozio/commerciante aderente senza il tuo SecureCode.

 —————————————————-

 

In fase di attivazione del Secure Code l’utente crea una “frase segreta” che verrà recuperata attraverso i canali impiegati per la legittima transazione ed il trasferimento di dati e mostratagli durante la fase di perfezionamento dell’acquisto, garantendogli di star comunicando con l’emittente della carta di credito. Rassicurato da ciò l’acquirente potrà in tutta sicurezza digitare il secure code.

Sempre citando la pagina di Master Card sopra citata

 —————————————————-

 D: Che cos’è il “messaggio personale”?

R: Il messaggio personale è una frase di controllo che il titolare definisce durante la registrazione. Ogni volta che effettui un acquisto online presso un negozio/commerciante aderente, ti verrà richiesto di inserire il tuo SecureCode e contemporaneamente verrà visualizzato il tuo messaggio personale. Il messaggio personale ti dà la garanzia di comunicare con l’emittente della tua carta. Se il messaggio personale visualizzato nella finestra a comparsa è inesatto, non devi inserire il tuo SecureCode, ma devi invece contattare immediatamente l’Assistenza clienti chiamano il numero telefonico riportato sul lato posteriore della tua carta MasterCard, per denunciare una possibile frode.

 —————————————————-

Quindi riassumendo:

1) si riempie il carrello;

2) ci si presenta al check-out, compilazione dati fatturazione;

3) inserimento dati carta di credito e titolare;

4) si apre il pop-up o ulteriore pagina con dati riassuntivi e frase segreta da verificare;

5) la frase segreta è corretta, l’utente inserisce il secure code e perfeziona l’acquisto.

 

Tuttavia ……

Nel pomeriggio di sabato 27 Settembre, si era impegnati nell’esame di un tentativo di phishing a danno di un ente non bancario si è ottenuto un messaggio di errore su una pagina php indicante che la stessa non era riuscita a recuperare informazioni da un host remoto

 

il file [omesso]vi.php era, ed è tutt’ora, posizionato nel sito web di un dominio .com registrato a nome di soggetti italiani con hosting presso il provider statunitense asmallorange.com.

Incuriositi dalla natura di questa pagina abbiamo svolto una serie di test. Innanzi tutto l’errore è stato generato dalla’assenza dei parametri card, mm, yy, cvv, che non sono stati passati via GET nel momento in cui abbiamo acceduto direttamente alla pagina generante l’errore, anziché giungerci attraverso il processo seguito dalle vittime.

Successivamente si è evidenziato come fornendo parametri validi la pagina restituisse (restituisce tutt’ora) la frase segreta impostata dal titolare della carta al momento dell’attivazione del secure code.

 

Ma come poteva avvenire tutto ciò?
la pagina fornisce l’indicazione di uno specifico esercente verso cui viene fatto il pagamento, nello specifico si tratta di una onlus, il cui sito web sabato pomeriggio non era funzionante, le pagine asp generavano errori ed impedivano la visualizzazione dei contenuti.

Il codice sorgente della pagina [omesso]vi.php evidenziava come l’output fosse generato da un server di keyclient.it, per quanto non si fosse sullo stesso.

 

L’assenza dei loghi “verified by Visa” e dell’istituto di credito emittente palesavano come la pagina fosse stata ottenuto dallo svolgimento in automatico, su un host terzo, di un tentativo di transazione, in realtà finalizzato al solo scopo di recuperare la frase segreta.

Apparentemente i criminali non hanno completato il lavoro di implementazione di tale sistema di recupero della frase segreta, che con semplici operazioni di parsing permetterebbe di riproporla direttamente nelle loro pagine fraudolente, con il risultato (citando le faq di Master Card) di dare la garanzia di comunicare con l’emittente della tua carta.

Ma così non è.

Identificato l’esercente, la onlus in questione, si è visitato il sito web, appena questo ha ripreso a funzionare, è si è avviata la procedura per effettuare una donazione. Nei primi passaggi vengono richiesti i dati personali (come privati o aziende), successivamente le operazioni passano in mano all’ente che gestisce la transazione, su sue pagine protette da certificato SSL.

 

 

All’atto di perfezionare l’acquisto inserendo i dati della carta di credito e del titolare, si è inserito quelli corretti per quanto riguarda la carta, ma si è falsato quelli del titolare (noi stessi), ottenendo la nostra frase segreta.

 

risulta evidente quindi che i dati del titolare, nome e cognome, non sono indispensabili per il recupero della frase segreta. Sicuramente il pagamento non andrebbe a buon fine, l’operazione abortirebbe a fronte del mancato inserimento dei corretti dati utente, ma tanto basta al criminale per recuperare la frase segreta.

In realtà non sarebbe nemmeno un problema l’inserimento dei dati corretti, perché nome e cognome sono sempre richiesti in tutti i casi di phishing volti alla cattura delle carte di credito.

 

L’analisi delle funzionalità di questo kit di phishing, svolta da remoto senza essere in possesso materialmente dei file, ma solo grazie alle risultanze di quanto è stato possibile cogliere attraverso il browser, evidenzia a nostro avviso come la “frase segreta” sia facilmente catturabile dai criminali.

Quanto sopra riportato deriva probabilmente da specifiche metodiche procedurali e da protocolli di comunicazione e non riguarda per altro il solo KeyClient ma anche altri operatori similari addetti alla gestione dei pagamenti elettronici, con i quali abbiamo ottenuto gli stessi risultati riuscendo ad ottenere sempre la nostra frase segreta.

Si chiarisce, a scanso di equivoci, che non si è trattato di alcun pen test, non era interesse di D3Lab testare metodiche, procedure, applicazioni, server di alcuno, ma solo comprendere come i criminali potessero essere riusciti ad ottenere la “frase segreta“. Per fare ciò si è semplicemente simulato un pagamento, usando i nostri stessi dati, inserendo solo un errore nel nome/cognome.

La possibilità per i criminali di simulare in totale automatismo l’avvio di una transazione ed usando i dati carpiti alla vittima (numero di carta di credito, data di scadenza, cvv) recuperare la frase segreta, creata dall’utente vittima all’atto dell’adesione al Secure Code, per presentargliela all’interno della pagina fraudolenta in cui richiedono il Secure Code, impone una rivalutazione di quale effettiva garanzia la stessa fornisca all’utente intento a perfezionare un pagamento sul web. 

Nella maggior parte dei casi di phishing si assiste all’inserimento delle pagine fraudolente, da parte dei criminali, in siti web di privati e società violati attraverso i modi più diversi.

Una volta guadagnato l’accesso allo spazio di hosting i criminali sono naturalmente interessati a mantenerlo ed a tal fine fanno spesso uso di shell php, tipo le note c99 o r57

immagine da honeynet.org

 

immagine da stopthehacker.com

 

ma ne esistono naturalmente di molto più complesse, con maggiori e più complete funzionalità.

Il cyber criminale ha naturalmente tutto l’interesse a non condividere l’accesso allo spazio di hosting conquistato, in particolare se la violazione non è avvenuta attraverso una vulnerabilità di facile individuazione, tenterà così di celare la propria shell e di proteggerla con l’uso di una password.

Durante l’analisi di uno dei siti web contenenti pagine di phishing, uno dei plugin/estensioni del browser utilizzato come password manager ha svelato la presenza del box di login ad una shell camuffata da pagina di errore 404.

Alla richiesta di una pagina inesistente, la pagina di errore restituita presentava nel mezzo dello spazio bianco il tipico asterisco con cui l’estensione password manager del browser permette di accedere alle opzioni di completamento dei box di input. 

 

Esaminando il codice della pagina si ha conferma della presenza del box di input destinato ad accogliere la password e della modalità banale con cui è stato reso non visibile.

 

Il sito in questione è basato su un noto cms. Ricercando la pagina 404.php relativa al tema grafico in uso si ottiene qualche informazione in più

 

evidenziando nello specifico un errore alla linea 2267 …davvero troppe per il sorgente di una pagina 404.

Se l’estensione password manager non fosse stata attiva, come nello screenshot sottostante, la presenza del box di login alla shell sarebbe passata inosservata.

 

 

Non esistono vacanze per i criminali che nella domenica di Pasqua hanno portato un nuovo attacco di phishing a danno dei clienti di Banca Popolare di Milano.

La mail di attacco

 

partita da host russi

 

 

presenta le seguenti caratteristiche:

mittente visualizzato: “Banco Popolare di Milano S.p.A”<[email protected]>

oggetto: Sicurezza e Protezione dalla Banco Popolare di Milano 

corpo del messaggio (plain text):

————————————————————-

Per ragioni di Sicurezza e Protezione,

e per il miglioramento del nostro servizio и necessario confermare il tuo conto.

Per questo, и necessario scaricare e compilare modulo allegato.

Banca Popolare di Milano Societа Cooperativa a r.l. Piazza F. Meda, 4 – 20121 Milano – tel. 02 77001 – P.IVA 00715120150

Iscrizione al Registro IVASS (1 febbraio 2007 n° D000027015) – Gruppo Bipiemme. Tutti i diritti riservati.

 YOQMIJRVIGPSKKIKGOIGFXDIVRHTUQCRWSFXGL

————————————————————-

come si può notare la terza riga contiene il carattere и quale errata codifica della “è”.

Come indicato nel testo della mail la stessa portava con se un allegato , costituito dal file  “Banco Popolare Di Milano DOCUMENTO.Html” che aperto in locale presentava a browser la pagina riprodotta nell’illustrazione sottostante.

 

 

Il documento presentava la parte relativa al tag FORM offuscata. La trasposizione in chiaro evidenziava come le credenziali 

 

 

venissero inviate ad un web server su ip cinese basato su Red Hat.

I nomi di file e directory utilizzati, nonché il template della mail, lasciano presumere l’attacco sia riconducibile agli autori delle recenti aggressioni a InBank ed Monte Paschi Siena.