enti colpiti dal phishing nel 2° quadrimestre 20120

L’attività di monitoraggio dei tentativi di frode informatica della tipologia phishing effettuata da D3Lab nel secondo quadrimestre 2012 ha permesso di rilevare, in panorama italiano, 487 differenti url di attacco contenute a vario modo in messaggi di posta elettronica di natura fraudolenta, finalizzati a carpire agli utenti di servizi on-line italiani le credenziali di accesso agli stessi e i dati per l’utilizzo di conti correnti on-line e delle carte di credito.

I 487 differenti url facevano capo a 392 differenti domini, numero che tuttavia nasconde una realtà ancor più drammatica essendo costituito da quei domini individuabili nei messaggi di posta, non evidenziando altresì il gran numero di domini coinvolti negli attacchi in qualità di meri raccoglitori di credenziali, basi per l’invio dei messaggi di posta, spazi di hosting per le immagini richiamate nelle pagine e mail fraudolente, domini nascosti da short url e redirect.

Il grafico sottostante mostra la distribuzione delle url individuate nei tentativi di frode agli utenti dei diversi enti/istituti

enti colpiti dal phishing nel 2° quadrimestre 20120

Il confronto di tali dati con quelli rilevati nel primo quadrimestre ed aggiornati con successivi rilievi

 

confronto distribuzione attacchi primo e secondo quadrimestre

evidenzia come il phishing in ambito italiano si sia concentrato, a differenza degli scorsi hanni, prevalentemente sugli utenti di Carta Si e Poste Italiane.
(Nota: Il confronto con il quadrimestre precedente è in parte falsato dalla migliorata capacità di rilevamento ottenuta da D3Lab con lo sviluppo di propri strumenti di monitoraggio)

I restanti istituti, a differenza del 2010 e 2011, hanno potuto giovare di un calo di interesse da parte dei criminali, che non va tuttavia correlato con il subentrato utilizzo di strumenti OTP, infatti i tentativi di frode ai danni degli utenti di Unicredit Banca, Intesa San Paolo, Banca Sella, istituti che da tempo hanno dotato i loro clienti di token OTP, utilizzavano l’interfaccia di home banking dei rispettivi portali all’unico fine di realizzare la cornice grafica per i moduli con i quali vengono richiesti i dati delle carte di credito.

Sono stati sempre finalizzati al furto dei dati delle carte di credito anche i tentativi di frode a danno degli utenti di Telepass Spa e di Gioco Digitale.

In questo quadrimestre si è inoltre notato un netto calo nell’attività di uno dei gruppi criminali più agguerriti, per quanto non particolarmente skillato, che ha apparentemente diradato gli attacchi portati fino ad aprile attraverso il costante utilizzo di redirect e mirante a colpire istituti con piattaforme di home banking ancora legate alla password dispositiva, spostando la propria attenzione verso gli utilizzatori delle carte di credito Visa e Carta Si.

Relativamente alle modalità di attacco utilizzate, vi è una leggera flessione nell’utilizzo di form e redirect a fabore dell’utilizzo di link diretti alle pagine fraudolente.

modalità di attacco

Il monitoraggio svolto in ambito internazionale ha consentito di rilevare nella seconda metà di agosto lo spread di una campagna di attacco nei confronti del ramo francese del gruppo BNP Paribas

clone BNP Paribas francese

che nelle prime settimane di settembre è stato riproposto anche in versione italiana.

clone BNP Paribas BNL

Sempre il monitoraggio in ambito internazionale ha palesato l’interesse dei criminali per tutti quegli enti/servizi presso i quali gli utenti possono o potrebbero pagare con carta di credito. Era stata sviluppata con tale orientamento la campagna di attacchi volta a colpire gli utenti dei servizi del gruppo energetico EDF (Électricité de France) ai quali veniva proposto l’addebito della bolletta su carta di credito.

clone società elettrica francese

Tale era anche l’orientamento delle già citate frodi ai danni degli utenti di Telepass e Gioco Digitale.

mail malevola

Da diversi mesi si assiste ad ondate di messaggi di posta elettronica con i quali il cybercrime veicola le proprie infezioni nel tentativo di trasformare i sistemi degli utenti in zoombi asserviti ai signori delle botnet e di carpire i dati bancari/finanziari.

In questi giorni si sta assistendo ad un nuovo massiccio invio di e-mail

mail malevola

 

 

mail malevola

 

mail malevola

che facendo riferimento ad ordini e prestiti accesi o attivati del destinatario della mail lo spingono ad aprire l’archivio zip in essa likato ed a prendere visione del file pdf contenuto.
In realtà chi riceve il messaggio di posta elettronica non ha a che fare con un documento pdf, ma con un semplice eseguibile rinominato con doppia estensione.
Facendo riferimento alle immagini soprastanti, nel primo caso il file zip scaricato da un sito turco attraverso il link della mail contiene  

Ordine.Pdf______________________________________________________________.exe

La lunghezza totale del nome è di 76 caratteri.
L’archivio risulta essere stato creato l’8 Agosto scorso 

Path = Ordine.zip
Type = zip
Physical Size = 288537

   Date      Time    
——————- —– 
2012-08-08 15:50:33 
——————- —– 

ed il suo contenuto viene riconosciuto quale file malevolo da 31 antivirus su 42 di quelli usati da Virus Total (report).
Nel secondo caso il dominio (su BlueHost) in cui il malware era stato inoculato risulta momentaneamente sospeso, mentre nel terzo caso il file risulta essere già stato cancellato.
Dalle immagini soprastanti si rileva come gli indirizzi di posta dei mittenti palesino l’incoerenza del messaggio di posta, che tuttavia i cyber criminali cercano di rendere credibile citando in fondo al messaggio Cedacri, società da sempre impegnata nel fornire servizi agli istituti bancari.
“Monte Biz” non identifica invece alcun istituto bancario né finanziaria.
L’escamotage di citare una società quale Cedacri potrebbe risultare fatale per i cyber criminali, in quanto una società di rilievo sentendosi danneggiata dall’indesiderato coinvolgimento nell’attività delittuosa,  potrebbe mettere in campo mezzi, strutture e fondi per contrastare il fenomeno e supportare adeguatamente l’azione degli investigatori.
mail di attacco

Nell’ultima settimana di Luglio vi sono state avvisaglie di un attacco agli utenti di Androind via mail.

mail di attacco

Apparentemente l’attacco sembra essere stato veicolato attraverso la mailbox @yahoo.it del mittente, a cui ignoti hanno avuto accesso da un indirizzo ip ungherese

 

estratto degli header

 

 

provvedendo all’invio della mail agli indirizzi collezionati tra i contatti.

Il link visualizzato con Chrome, simulando lo user agent di un dispositivo Android non portava al download di alcunché venendo rediretti ad altra pagina. Al contrario se si accedeva al link da un dispositivo Android si otteneva il download di un file apk. Il browser di default procedeva al semplice download, mentre Firefox per Android proponeva direttamente l’azione di installazione.

 L’immediata scansione con Avast Mobile ha evidenziato la natura della applicazioni scaricate

 confermata dall’analisi on-line con VirusTotal:

Appare evidente che la frontiera dei dispositivi mobili rappresenterà la nuova sfida di phisher e distributori di malware.

Pagine fraudolente Telepass

Nella giornata di ieri si è verificato un nuovo tentativo di frode nei confronti degli utenti del servizio Telepass.
Cybercriminali hanno spedito email fraudolente apparentemente inviate dall’ente in questione nella quali si paventava il blocco del servizio.
Il link proposto nel messaggio di posta elettronica indirizzava gli utenti a pagine fraudolente posizionato nel spazio di hosting del dominio telepass.lt.

Pagine fraudolente Telepass

I criminali hanno quindi usato il suffisso di dominio lituano LT nella convinzione, sfortunatamente corretta, che molti utenti non si accorgessero dell’inganno. 

 

L’attività di intelligence svolta da D3Lab ha consentito di individuare parte delle credenziali cedute dagli utenti ingannati. In esso sono stati individuati 112 differenti indirizzi di posta elettronica con relative password di accesso alle mail box, nonché 51 numeri di carte di credito validi secondo l’algoritmo di Luhn.

L’elenco degli indirizzi email dei possibili utenti frodati è stato inviato a Telepass SpA ed ad Autostrade per l’Italia SpA (a cui Telepass fa capo) al fine di consentire loro di avvisare gli utenti frodati.
Si pone tuttavia un problema: come contattare gli utenti in un momento in cui c’è una gran diffidenza verso contatti dai toni allramanti spesso usati per queste frodi?

 

Corsi proposti da D3Lab e già tenuti:

  • Malware analisys.
    Docente: Gianni Amato;
    Svolto: da mercoledì 6 Giugno a venerdì 8 Giugno 2012;
    Note sullo svolgimento

  • Analisi siti web compromessi (presso cliente)
    Docente: Mario Pascucci;
    Svolto: da lunedì 4 Febbraio a mercoledì 6 Febbraio 2013;
    Note sullo svolgimento
Mail Fraudolenta Gioco Digitale

Il cyber crime va all’attacco dei giochi digitali con l’intento di “svuotare” il conto dei giocatori.

In data odierna si è individuato una mail fraudolenta mirante a colpire gli utenti di Gioco Digitale. Palesando il blocco dell’account la mail invita a scaricare l’allegato per ripristinare le funzionalità del conto collegato all’account.

Mail Fraudolenta Gioco Digitale

La mail veicola l’attacco sia attraverso il classico link ipertestuale, sia attraverso il menzionato allegato. Questo è costituito da un file html che aperto in locale presenta la medesima pagina riproposta seguendo il collegamento ipertestuale.

Allagato html

Sia la pagina locale, che quella remota, mirano esclusivamente a carpire i dati di accesso all’account del giocatore al presumibile fine di movimentare le somme depositate sul “conto gioco” verso conti posseduti dai cyber criminali sui circuiti consentiti da Gioco Digitale:

  • Carta di Credito Visa;
  • PostePay Skrill (Moneybookers);
  • Kalixa;
  • Bonifico Bancario.

Le pagine fraudolente sono in hosting presso il provider ceco webzdarma.cz.

Phishing Telepass.it

Con l’intento di acquisire fraudolentemente codici di carte di credito il cyber crime rivolge la propria attenzione non solo verso gli istituti bancari e quegli enti che emettono proprie carte di credito, ma anche verso tutti quei servizi che prevedono pagamenti con esse.

In data odierna è stato rilevato in rete un attacco di phishing volto a colpire gli utenti del servizio Telepass.

Il messaggio di posta fraudolento, paventando la possibile sospensione del servizio Telepass, causa il mancato pagamento di una fattura, invita gli utenti a visitare pagine web posizionate nel dominio webtelepass.it

 

Domain:             webtelepass.it Status:             ok Created:            2012-06-02 05:16:44 Last Update:        2012-06-02 05:40:25 Expire Date:        2013-06-02

 

forgiato ad hoc con l’intento di trarre in inganno i visitatori.

Phishing Telepass.it

Le pagine fraudolente richiedono ai visitatori, oltre ai dati della carta di credito, anche le credenziali di accesso alla mail box.

phishing Telepass.it

 

 

 

Gianni Amato descrive l'uso di tools per l'analisi statica

Si  è svolto dal 6 all’8 giugno scorsi il primo corso D3Lab di introduzione alla Malware Analysis nel quale Gianni Amato ha spiegato ai partecipanti le caratteristiche e finalità dei malware odierni, descrivendo la struttura organizzativa caratterizza la realizzazione di attacchi veicolati attraverso tale minaccia.

Gianni Amato descrive l'uso di tools per l'analisi statica

Ai partecipanti, tra i quali personale già impiegato nel settore sicurezza ICT, tecnici ENEL e consulenti forensi, sono state spiegate le metodiche di analisi statica, dinamica ed attraverso strumenti on-line. Le metodiche sono quindi state applicate dai partecipanti attraverso esercizi svolti in prima persona allestendo il laboratorio di analisi sulle propria workstation.

L’esperienza operativa di Gianni Amato, coinvolto in prima persona nella difesa di primarie aziende nazionali, ha permesso di mantenere viva l’attenzione dei partecipanti con frequenti riferimenti alle casistiche odierne ed ai malware più noti e minacciosi del momento. 

Un invidiabile rapporto docente/discenti e la comoda e silenziosa aula messa a disposizione dalla DTC Pal hanno permesso l’immersione completa, otto ore al giorni,  e soddisfacente dei partecipanti nelle problematiche descritte dal docente.

 

 

Le attività di monitoraggio dei tentativi di phishing svolta nel primo quadrimestre del 2012, durante lo start-up aziendale, hanno consentito di individuare 351 distinti url di attacco volti a colpire i clienti di ventuno diversi istituti bancari/enti.
Questi 351 url individuavano risorse posizionate su 273 diversi domini/indirizzi ip, ma frequentemente hanno visto il coinvolgimento di ulteriori soggetti che non venivano individuati dall’immediata analisi del messaggio di posta elettronica fraudolento. La sopravvivenza delle pagine facenti parte della struttura imbastita dai criminali hanno avuto un tempo di sopravvivenza ampiamente superiore al giorno. 

Il monitoraggio costante indica l’interesse dei criminali a colpire gli utenti di Internet prevalentemente durante la settimana lavorativa, con un esigua ricezione di mail di phishing durante il week-end. Con tale presupposto vi sono stati istituti contro i cui clienti i phisher hanno inviato mail fraudolente praticamente tutti i giorni.

Gli attacchi registrati vedono principalmente l’utilizzo di quattro differenti metodiche:

  1. collegamento diretto alle pagine fraudolente;
  2. collegamento a pagine web aventi la funzione di redirect;
  3. manipolazione di sotto domini;
  4. allegati htm/html/mht contenenti il modulo da compilarsi;

L’attacco portato con form in allegato al messaggio di posta elettronica sta via via prendendo maggiormente piede, consentendo di ovviare alle funzionalità di sicurezza dei moderni browser finalizzate ad allertare l’utente che richiede pagine web segnalate quali malevole.

Rimane per ora residuale l’utilizzo di short-url e di servizi di dns dinamico, sebbene tali medotiche, quando usate, non di rado vengano implementate dai criminali con le precedenti.