segnalazioni raccolte per quadrimestre

Il 2012 si è da poco concluso consentendo di verificare un netto incremento di url unici di attacco tra il primo ed il terzo quadrimestre.

segnalazioni raccolte per quadrimestre

Il raddoppio del numero di segnalazioni raccolte è in parte imputabile all’affinamento della capacità di rilevare gli attacchi di phishing ottenuto con l’entrata a regime di tools e procedure sviluppati e affinati man mano che l’azienda si avvicina a festeggiare il primo anno di operatività effettiva.

Nell’ultimo quadrimestre del 2012 i 642 url unici di attacco, rilevati nei messaggi di posta elettronica o negli allegati ad essi, hanno fatto riferimento a 542 differenti domini/indirizzi ip, il che consente con semplicità di rilevare come parte di questi venga riutilizzata in più attacchi.

Enti colpiti dal phishing nel 3° quadrimestre 2012

Il grafico sottostante mostra chiaramente gli enti verso i quali i tentativi di frode sono stati una costante nell’arco dell’anno appena conclusosi.

Esaminando l’andamento degli attacchi nell’arco di tutto l’anno si può notare come gli tra i cinque enti più colpiti dal phishing, 

attacchi di phishing nell'arco del 2012

la minacci agli utenti/clienti di quattro di questi fosse sostanzialmente volta ad impadronirsi dei codici di carte di credito, mentre solo nel caso di Banca Popolare dell’Emilia Romagna ad essere prese di mira fossero le funzionalità di home banking.

L’esame degli attacchi agli enti distribuiti nei tre quadrimestri mostra come dalla seconda metà dell’anno i phisher abbiano orientato il

Attacchi di phishing nei tre quadrimestri del 2012

proprio operato non solo nei confronti di istituti bancari o di emissione di carte di credito, ma anche nei confronti di società di servizi per l’utilizzo dei cui servizi è plausibile la richiesta dei dati delle carte di credito.
Da giugno si è potuto assistere a tentativi di frode nei confronti degli utenti Telepass, Gioco Digitale, Vodafone, Wind e verso la fine dell’anno, facendo leva sulla crisi economica che mette in affanno el famiglie, sfruttando quindi la promessa di false offerte per l’acquisto di carburante e di rimborsi, anche nei confronti di Eni/Agip e del Gruppo Hera.

In panorama internazionale si assiste invece alla scoperta da parte dei cyber criminali di nuove terre di conquista, con tentativi di frode volti a colpire utenti di banche asiatiche, nord africane e dei paesi arabi.

Relativamente alle metodiche di attacco si nota una netta flessione sia nell’uso di redirect che degli allegati html/htm/mht contenenti form da visualizzarsi e compilarsi in locale.

modalità di attacco

Il calo degli url unici di attacco utilizzati per i tentativi di frode portati attraverso form allegati non deve far in realtà pensare ad un calo assoluto di tale metodica, si è rilevata infatti una forte persistenza, o capacità di sopravvivenza, delle pagine php (generalmente) utilizzate per la gestione delle credenziali inviate dai form, con alcune di esse che risultano essere riutilizzate in attacchi anche a distanza di diverse settimane.

Il calo nel numero di url unici di attacco utilizzati quali redirect e invece reale e da imputarsi sostanzialmente ad un temporaneo cambio di modalità operativa da parte del gruppo criminale, presumibilmente romeno, che di tale metodica aveva fatto una sua costante almeno dalla seconda metà del 2009.
Solo nelle ultime settimane dell’anno appena concluso tale gruppo sembra star facendo ritorno a tale metodica, da essi ampiamente collaudata. 

 

Previsioni per il 2013

A fronte dei monitoraggi effettuati dal 2009 ad oggi risulta estremamente complesso lanciarsi in previsioni riguardanti la minaccia phishing.
Enti molto colpiti un anno sono stati quasi ignorati quello successivo, mentre istituti mai attenzionati prima sono poi stati colpiti duramente. 
Sicuramente alcuni enti con un elevato numero di utenti operanti con carte di credito e prepagate rimarranno una costante.
Gli italiani riceveranno ancora moltissime mail fraudolente relative a Carta Si e Poste Italiane. Potrebbe esservi un incremento dei tentativi di frode nei confronti degli utenti Visa, anche se in realtà nei tre quadrimestri si è registrato un calo progressivo, mentre Mastercard rimane al momento ancora troppo poco diffusa per rappresentare un obiettivo pagante.

Un certo interesse potrebbe esercitarlo nei cyber criminali la nuova carta fedeltà e pagamento Eni, di cui si sta assistendo alla pubblicizzazione da alcune settimane, si sa che le novità attirano sempre una certa attenzione, come avvenuto in passato per Lottomatica, molto colpita nel 2011. 

Sul lato home banking si è assistito ad un calo di interesse da parte dei criminali, presumibilmente a causa dell’adozione da parte di diversi istituti di strumenti hardware OTP e di metodiche di autenticazione via cellulare. I phisher potrebbero andare alla ricerca di quegli istituti che ancora operano senza tali strumenti, facendo magari uso delle password dispositive, o riversando comunque l’attenzione su quegli istituti che, seppur proteggendo i clienti con autenticazioni robuste, possono vantare un ampio bacino di utenti.
In tali casi la cornice grafica dei siti di home banking, fedelmente riprodotti in pagine fraudolente, verrà utilizzata semplicemente per mettere a proprio agio il cliente/utente al fine di ingannarlo e convincerlo a cedere i codici delle carte di credito, come in tutto l’anno passato si è visto ripetere ad esempio con Unicredit e San Paolo Intesa.

La possibilità che i criminali si orientino verso enti non bancari, ma deputati alla semplice fornitura di servizi potrebbe rappresentare un trend in aumento, a tali frodi si da ancora poco risalto e potrebbero rappresentare un terreno fertile per i phisher nell’arco dell’anno appena cominciato.

mail fraudolenta

Come D3Lab aveva da tempo prevista i cyber criminali stanno volgendo la loro attenzione a tutti quei servizi, non direttamente bancari, per i quali è plausibile un pagamento o rimborso attraverso carta di credito.
L’odierno target dei criminali è il Gruppo Hera, società che fornisce a privati, professionisti ed amministrazioni pubbliche servizi energetici e ambientali (smaltimento rifiuti). 

La mail individuata invita il destinatario a cliccare sul link proposto al fine di ottenere un rimborso di di 373,80 euro.

 

mail fraudolenta 

Il link porta ad una singola pagina fraudolenta, riproducente grafica e loghi del Gruppo Hera, nella quale

pagina web fraudolenta

 

vengono richiesti dati i personali e e quelli relativi alla carta di credito. Data conferma dei dati si viene portati al sito trusted del Gruppo Hera.

L’esame dell’header del messaggio di posta elettronica fraudolento mostra chiaramente come lo stesso sia stato inviato attraverso una

Mail headers

pagina php inserita ad hoc in un sito web violato, presumibilmente attraverso una nota vulnerabilità di wordpress.

Giovedì 29 Novembre, presso la Sala Convegni Fondazione PescarAbruzzo si è tenuto il convegno VIOLENZA INFORMATICA — CYBER ATTACK: di.f.e s.i.? organizzato dal SIULP (Sindacato Italiano Unitario Lavoratori Polizia), finalizzato a sensibilizzare la comunità pescarese e abruzzese riguardo le minacce presenti in rete con le quali i più si confrontano in modo del tutto inconsapevole ed impreparato.

D3Lab ha partecipato con l’intervento “Phishing fast and furious” mirante ad evidenziare la pericolosità sempre attuale rappresentata dal phishing e la sua convenienza per i cyber criminali.

{slideshare}{/slideshare}

mail fraudolenta

L’attività di monitoraggio degli attacchi di phishing ha consentito di individuare nella prima mattina odierna un tentativo di frode volto a colpire gli utenti italiani della rete, veicolato attraverso un messaggio di posta fraudolento con il quale viene proposto da Agip un forte sconto per l’acquisto di cinquanta litri di carburante.

mail fraudolenta

E’ immediatamente possibile notare come l’indirizzo mittente visualizzato sembri essere parte del dominio legittimo agip.it. L’indirizzo ip mittente indica invece come la mail sia partita da un host collegato alla rete Telecom Italia Mobile.

 

Il dominio visualizzato nel link proposto fa capo ad un dominio registrato nelle isole Samoa, nell’Oceano Pacifico, solo tre giorni fa.

Seguendo tale link il visitatore giunge a pagine fraudolente riproducenti la grafica ed i loghi di Agip/Eni

pagine fraudolente 

 

posizionate nello spazio web di un dominio tedesco registrato a febbraio 2012.

La prima pagina di “benvenuto” viene seguita dalla richiesta dei codici della carta di credito

 

richiesta codici carta di credito

 

che sono verificati lato server.
Nel caso la carta risulti essere emessa da Poste Italiane al visitatore sono richiesti anche i dati di login dell’account presso tale ente.

 

richiesta fraudolenta login Poste 

Apparentemente i criminali eseguono il controllo sull’account Poste e gestiscono le credenziali a seconda che il login sia stato possibile o meno, quindi che le credenziali siano valido o no.

I criminali hanno già raccolto una decina di codici di carte di credito validi.

Il centralino romano di Eni S.p.A. non è riuscito a metterci in contatto telefonico con alcun addetto alla sicurezza, la società è stata avvisata via fax.

A margine del tentativo di frode in questione risulta interessante rilevare dalla pagina di HTTrack Website Copier presente nel sito usato per l’attacco quali siano gli enti/istituti che i criminali operanti intendono colpire

httrack project

 

Update: martedì 20 Novembre 2012:

nella prima mattina odierna i criminali hanno cambiato il layout della pagina clone

nuovo layout pagina fraudolenta

senza aver tuttavia l’accortezza di modificare il titolo della stessa presente nei tag meta.
L’informazione ricavata fornisce riscontro all’ipotesi che gli autori di tale attacco siano gli stessi dei recenti tentativi di frode a danno degli utenti Vodafone e Wind.

Il dominio utilizzato per l’attacco non è più disponibile.

Update 21 Gennaio 2013:

le informazioni di Eni/Agip agli utenti in relazione ai tentativi di frode.

Venerdì 9 Novembre a Pesaro, presso l’Hotel Cruiser, si è tenuto il convegno, organizzato dall’Ordine Avvocati di Pesaro,  “CRIMINI INFORMATICI 2012 – Indagini Digitali in ambito Giudiziario e Forense”  al quale D3Lab ha partecipato con l’intervento “Identità digitali violate: Phishing” volto ad evidenziare i rischi e le problematiche legate alla sottovalutazione della minaccia phishing.

{slideshare}{/slideshare}

Police Advisor Team Training

L’impegno della coalizione militare internazionale impegnata in Afghanistan, di cui l’Italia fa parte, si è orientato verso l’obbiettivo di rendere la nazione Afghana autonoma nel far fronte alle proprie esigenze di sicurezza. Il raggiungimento di tale fine passa attraverso la formazione delle forze armate e di polizia afghane.
L’Italia  partecipa a tale impegno attraverso il dispiegamento in teatro di operazioni dei Police Advisor Team, unità costituite da personale delle nostre Forze Armate che svolgono l’azione di mentoring a favore del neonato law enforcement afghano.

Police Advisor Team Training

D3Lab ha avuto l’onore di essere chiamata a collaborare all’addestramento dei nostri militari impegnati quali Police Advisor Team trasmettendo le proprie competenze in materia di repertamento delle evidence digitali con lezioni tenute presso il Reggimento Addestrativo Aosta del Centro di Addestramento Alpino dell’Esercito (ex Scuola Militare Alpina) di Aosta.

Onorati del compito assegnatoci!

dir tescr/ step 1

Per il secondo giorno consecutivo si presenta agli utenti italiani della rete un tentativo di frode volto a colpire gli utenti della compagnia di telefonia mobile WIND.

prima pagina phishing WIND

La mail fraudolenta conduce gli utenti a pagine clone posizionate posizionate in un server bulgaro

 

inetnum: 91.230.192.0 - 91.230.195.255
netname: ICN
descr: Internet Corporated Networks Ltd.
country: BG
org: ORG-IA836-RIPE
admin-c: BB5325-RIPE
tech-c: BB5325-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: MNT-POWERNET
mnt-routes: MNT-POWERNET
mnt-routes: ICN-BG-MNT
mnt-domains: MNT-POWERNET
source: RIPE # Filtered

Fine ultimo della frode è naturalmente la cattura dei dati delle carte di credito degli utenti

seconda pagina phishing WIND

che vengono richiesti nella seconda pagina fraudolenta, senza che su di essi venga condotto alcun controllo sulla validità del numero di carta.

La terza ed ultima pagina richiede il Secure Code

richiesta scure code

Per visualizzare le pagine è  necessario far seguire l’url da un indirizzo email. 

visualizzazione in esplora risorse

Durante le notte odierna si è verificato un nuovo tentativo di infettare i computer degli utenti italiani della rete Internet attraverso l’invio di messaggi di posta recanti all’interno del corpo un link ipertestuale per il download di malware camuffato da documento pdf.

Il messaggio avente soggetto “Rimesse Doc!” o “Fwd: Rimesse Doc!” o ancora “Fwd: Rimesse” cerca di ingannare il ricevente facendo riferimento ad una presunta fattura

Ciao,
Si prega di confermare il 20% tt pagamento anticipato.
nei confronti della fattura proforma PO81955/2012
http://dominioviolato.it/Operazione.zip
Aspetto la tua risposta

Cordiali saluti 

Al momento sono stati individuati otto differenti siti dai quali può essere scaricato il file Operazione.it, sette dei quali italiani ed uno austriaco.

 

Il file zip, che Virus Total rileva come malevolo (16/44), contiene un file eseguibile con nome composto da 76 caratteri a cui fa seguito il punto (77°) ed i tre caratteri dell’estensione exe

Operazione.Pdf______________________________________________________________.exe

Sia Windows XP che 7 riconoscono correttamente la falsa estensione pdf seguita dai caratteri underscore.

visualizzazione in esplora risorse

BullGuard anti-virus identifica immediatamente la minaccia.

riconosceimento minaccia

Per il riconoscimento da parte degli altri anti-virus si può fare riferimento al report di Virus Total per il file .exe (17/43).

L’esame degli headers degli otto diversi messaggi di posta ricevuti evidenzia come tutti siano partiti dal medesimo server statunitense.

 

phishing Vodafone UK

Il monitoraggio del phishng internazionale ci ha abituato da tempo a rilevare tentativi di frode nei confronti degli utenti/clenti di Vodafone UK

phishing Vodafone UK

volti ad acquisire le credenziali di accesso all’account personale.

Esaminando uno degli odienri tentativi di frode ai danni dei clienti Poste Italiane

 

phishing Poste Italiane

si è rilavata la presenza nel medesimo spazio di hosting di un tentativo di frode a danno dei clienti/utenti di Vodafone Italia

phishing Vodafone IT

A differenza dell’attacco a danno degli utenti britannici, in questo caso a far gola ai criminali sono i dati della carta di credito degli utenti italiani, ai quali il phisher propone, con questa frode, di effettuare una ricarica del credito telefonico.

falsa procedura pagamento

La falsa procedura di pagamento non utilizza https (cosa non scontata in quanto si sono verificati attacchi con pagine clone inserite all’interno dell’area amministrativa siti di e-commerce per i quali il criminali poteva sfruttare le feature di collegamento a tale sezione del sito per ingannare l’utente sull’utilizzo del protocollo https)

falsa procedura pagamento

sfruttando la grafica della procedura di pagamento di CartaSi/Visa-

falsa procedura pagamento

Il dominio è stato presumibilmente registrato ad hoc il 19 Ottobre 2012 (tre giorni fa) ed il nome appare conforme a trarre in inganno gli utenti italiani Vodafone.

dominio

 

Polizia di Stato italiana

E’ di queste ore l’attacco di social engineering finalizzato a colpire i cittadini di diversi paesi con la falsa contestazione di violazioni correlabili ai reati informatici da parte delle forze dell’ordine, inducendoli a pagare on-line l’importo di una sanzione variabile tra 100 Euro ed i 200 $.

Su un server irlandese della OVH Hosting Limited sono state inserite pagine web fraudolente che, in base l’indirizzo ip del visitatore, propongono una pagina con l’intimazione/contestazione tradotta nella lingua del paese da cui è originata la navigazione, abbinando i loghi ed i nomi delle locali forze di polizia, nonché un box per il pagamento attraverso diversi sistemi di moneta elettronica, quali uKash, PaySafe, MoneyPack, ecc…

Polizia di Stato italiana

 

FBI USA

Polizia Olandese

Polizia tedesca

Nel caso l’utente inserisca un codice uKash valido, per provare è sufficiente cercare in Google immagini “codice uKash”, la pagina si oscura e un banner invita l’utente ad attendere, con il computer acceso, per un ora l’elaborazione del pagamento della sanzione.

pagamento sanzione effettuato

La modalità di pagamento della sanzione limiterà forzatamente gli introiti che i criminali raccoglieranno, un diverso sistema di pagamento, maggiormente diffuso, avrebbe forse potuto dar loro maggiori vantaggi, ma probabilmente avrebbe di contro permesso una maggior tracciabilità delle transazioni.
E’ presumibile che molti cittadini italiani, non conoscendo i sistemi di pagamento proposto e intimiditi dal tenore della comunicazione, telefoneranno ai centralini della Polizia di Stato per avere delucidazioni sulla contestazione e sulle modalità di pagamento, vanificando in tal modo l’aggressione.

Al momento non siamo in possesso del messaggio di posta elettronica fraudolento, ma del solo url di attacco, corrispondente a:

http://jmjmjnphih.trunksite.info/get.php?id=10

Il dominio trunksite.info è stato presumibilmente registrato ad-hoc per la realizzazione della frode

Domain ID:D48056054-LRMS
Domain Name:TRUNKSITE.INFO
Created On:11-Oct-2012 20:01:58 UTC
Last Updated On:11-Oct-2012 20:01:58 UTC
Expiration Date:11-Oct-2013 20:01:58 UTC
Sponsoring Registrar:DomainContext Inc. (R524-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:TRANSFER PROHIBITED
Status:ADDPERIOD
Registrant ID:PP-SP-001
Registrant Name:Domain Admin
Registrant Organization:PrivacyProtect.org
Registrant Street1:ID#10760, PO Box 16
Registrant Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Registrant Street3:
Registrant City:Nobby Beach
Registrant State/Province:
Registrant Postal Code:QLD 4218
Registrant Country:AU
Registrant Phone:+45.36946676
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:[email protected]

All’indirizzo ip 37.59.109.241 non risulta far capo nessun altro dominio. La risposta del server fornisce qualche informazione in più

HTTP/1.1 200 OK
Date: Mon, 15 Oct 2012 21:44:58 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Content-Length: 9119
Connection: close
Content-Type: text/html

confermando, grazie al time stamp, la collocazione del server in Irlanda.
DirBuster non fornisce invece risultati di rilievo

risultato dirbuster

L’esistenza delle pagine allestite per “rispondere” a visitatori provenienti dai diversi paesi è stata rilevata quando, acquisendo la pagina con HashBot, ci si è trovati davanti al codice sorgente facente riferimento all’Interpol

codice della pagina caricata con ip UK

A seguito di ciò è bastato visitare l’url attraverso tor ed altri proxy per rilevare il trucco.

Apparentemente si è di fronte ad una variante della frode portata a mezzo malware che ancora imperversa in rete, con messaggi di posta fraudolenti finalizzati ad indurre i destinatari a scaricare ed eseguire file, con il solo risultato di infettare i propri sistemi con virus “rapitori”, che sequestrano i sistemi, asserendo di sbloccarli a seguito del pagamento della sanzione, come nel caso della Polizia Portoghese citato nelle scorse settimane.