This site uses cookies. By continuing to browse the site, you are agreeing to our use of cookies.
AcceptAccept Only EssentialsLearn morePotremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per fornire il sito web, rifiutarli avrà un impatto come il nostro sito funziona. È sempre possibile bloccare o eliminare i cookie cambiando le impostazioni del browser e bloccando forzatamente tutti i cookie di questo sito. Ma questo ti chiederà sempre di accettare/rifiutare i cookie quando rivisiti il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
Google Fonts:
Impostazioni Google di Enfold:
Cerca impostazioni:
Vimeo and Youtube video embeds:

phishing Telepass 20150920
PhishingI criminali tornano a colpire gli utenti Telepass a distanza di oltre tre anni (15/06/2012, 22/06/2012).
Nella giornata odierna è pervenuta nella mail box la seguente mail:
Oggetto: ТЕԼЕРАЅЅ FАМІԼҮ
Mittente apparente: “[email protected]” <[email protected]>
Testo del messaggio:
Salve [email protected],
TELEPASS FAMILY ti premia con 90 giorni gratuiti.
Novit�: per 90 giorni puoi viaggiare gratis, basta cliccare sul link promozione in basso e verificare la tua identit�.
Una volta ricevuta l’autorizzazione dalla tua Banca provvederemo ad inviare il codice sul tuo estratto conto col quale ti dovrai recare al primo PUNTO BLU e riscattare i tuoi 90 giorni gratuiti in Autostrade Italia
Prosegui con la verifica!
Come si può notare dall’immagine soprastante riproducente la mail, il messaggio è scritto in italiano corretto, mentre balzano agli occhi i caratteri accettati non correttamente codificati.
La dicitura “Prosegui con la verifica!” nasconde il collegamento ipertestuale alle pagine fraudolente. Nella prima vengono richiesti i dati
della carta di credito (numero, scadenza e cvv), nella seconda pagina viene richiesto il securo code Visa/Mastercard.
L’attacco di phishing in questione è ad opera di un gruppo criminale particolarmente agguerrito, operante principalmente a danno degli operatori di telefonia mobile.
A conferma di ciò all’interno del sito web compromesso impiegato per pubblicare il clone Telepass è stato individuato anche un clone a danno dei clienti H3G.
Phishing Vodafone via SMS
PhishingSebbene a livello statistico vi sia stato un calo del phishing rilevato da D3Lab, si deve registrare tuttavia un persistere dell’ignoranza
degli utenti relativamente alla minaccia. La studio realizzato da Intel Security che ha evidenziato come il 93% degli internauti non sia in grado di riconoscere correttamente un tentativo di phishing palesa quelle che sono le possibilità dei criminali di colpire con efficacia.
Sebbene un calo del phishing vi sia stato ed in particolare in relazione all’internet banking, dove l’adozione di sistemi di autenticazione forte hanno reso più complesso per i criminali sfruttare i dati carpiti, si è osservato un forte incremento degli attacchi miranti alla cattura dei dati di carta di credito.
Il semestre appena conclusosi evidenzia come criminali si stiano sempre più orientando a colpire target non bancari, quanto piuttosto legati al mondo dei servizi per la massa, come evidenziato dai record recuperati a seguito di casi di phishing.
I criminali riservano particolare attenzione al mondo della telefonia mobile, dove le funzionalità di ricarica on-line si prestano particolarmente bene per le frodi.
Nei mesi scorsi si è assistito ad una forte campagna a danno di TIM, realizzata con l’invio di SMS contenenti il link a pagine di phishing. Ora il medesimo gruppo criminale, autore già della lunga campagna a danno di TotalErg e precedentemente di Carrefour (entrambe via SMS), sembra stare postando la propria attenzione sugli utenti Vodafone.
Nei giorni scorsi si sono registrati già tre casi con pagine clone inserite nello spazio web di domini aventi nomi registrati ad hoc al fine potenziare la capacità di inganno, i cui link sono stati diffusi via sms:
Le pagine clone risultano raggiungibili anche da rete Vodafone.
All’epoca (dicembre 2013, gennaio 2014) della prima consistente campagna di phishing condotta a danno di Carrefour via sms, D3Lab riuscì a restituire una puntuale e tempestiva informazione agli utenti grazie a numerosi commenti di segnalazione, pratica che sfortunatamente non ha avuto il medesimo successo in relazione alle campagne a danno di TotalErg e TIM.
Sebbene i social netowrk consentano una ampia diffusione delle informazioni, sfortunatamente la loro indicizzazione da parte dei motori di ricerca non risulta sempre efficace e parte delle informazioni non raggiungono la massa venendo confinate nei circoli chiusi di contatti o di specifiche aree tematiche a causa degli hashtag.
Al fine di permettere una tempestiva azione di contrasto da parte degli enti target si consiglia di segnalare link ed sms su pagine ed account ufficiali di società e servizi.
Update 24/07/2015 10:55:
domini usati dal 13/07/2015:
Update 30/07/2015 15:48:
domini usati:
Update 17/09/2015 09:04:
domini usati:
Update 25/09/2015 11:02:
domini usati:
Update 06/10/2015 14:43:
domini usati:
Gabbata la frase segreta del secure code
PhishingImportante aggiornamento relativo ai casi di phishing TIM precedentemente trattati:
Lo scorso 29 Settembre avevamo pubblicato un post in cui evidenziavamo come per i phisher fosse possibile recuperare la frase segreta del Visa/Mastercard “secure code” (link).
I rilievi descritti nel post erano stati eseguiti proprio esaminando un tentativo di phishing ad opera dello stesso team criminale autore dei due casi descritti poc’anzi (link1 link2). L’esame svolto all’epoca evidenziò come la metodica di recupero della frase segreta fosse funzionante, ma non ancora implementata nel normale funzionamento del kit di phishing.
Poco fa eravamo impegnati nello svolgimento di ulteriori accertamenti finalizzati a comprendere il funzionamento dei kit. Questi test vengono svolti inserendo credenziali formalmente valide (nome, cognome, codice fiscali, numero di carta di credito valido secondo l’algoritmo di Luhn, cvv, ecc…) ma assolutamente inventate, o generate da script, come nel caso dei numeri di carta di credito.
In tal modo, anche se il caso ci portasse ad usare un numero di carta di credito realmente emessa, la combinazione di nome/cognome titolare, scadenza e cvv assolutamente casuali ne renderebbe l’uso fraudolento impossibile.
La sorpresa è giunta quando, inseriti i dati richiesti dalla pagina fraudolenta, è stata visualizzata una pagina web, con logo dell’ente emittente la carta di credito, in cui veniva richiesta la password del Visa/Mastercard secure code, ma …che riportava anche la “frase di benvenuto segreta” del “secure code”!
Evidentemente si era verificato “il fato” ed il numero di carta usato per il test (abbinato a restanti dati assolutamente casuali e per tanto inutilizzabile) apparteneva ad una carta di credito esistente e il kit creato dai criminali è stato in grado di recuperare la frase identificativa segreta del Visa/Mastercard secure code.
La metodica, come scritto a settembre 2014, era stata sviluppata dai criminali, ma non ancora implementata. Ora invece lo è, con tutto ciò che ne consegue.
Phishing Tim …forse già via sms
PhishingGli accertamenti svolti nella prima mattinata hanno portato all’individuazione di un nuovo sito di phishing a danno di utenti TIM.
Partendo dall’url hxxp://timestate.it si visualizza la pagina clone, riprodotta nell’immagine sottostante, pubblicata via HTTPS attraverso serversicuro.it.
La visualizzazione del clone partendo dall’url base del sito/dominio timestate.it lascia ipotizzare l’uso dell’url direttamente in sms di attacco.
D3Lab ha trattato questi recenti attacchi sul blog in quanto presentano caratteristiche innovative in relazione al target colpito, nella fattispecie TIM. Non si proseguirà con ulteriori segnalazioni a meno che non presentino differenze di rilievo.
Si auspica che, come avvenuto in altri casi, la comunità web voglia lasciare traccia nei commenti a questi post dei nuovi url fraudolenti, nonché dei numeri di telefonia da cui potrebbero partire eventuali sms fraudolenti, affinché altri utenti possano individuare la minaccia ed evitarla.
Update 23/04/2015 h. 22:47:
domini già impiegati:
Update 08/05/2015 h. 14:02:
domini già impiegati:
Update 18/05/2015 h. 16:12:
domini già impiegati:
Update 03/06/2015 h 17.05:
domini già impiegati:
Update 11/06/2015 h 11.38:
domini già impiegati
Phishing Tim …team criminale instancabile
PhishingCiò che nel panorama criminali ha dell’incredibile è la perseveranza e costanza di alcuni team criminali.
Il tentativo di phishing a danno degli utenti TIM di cui raccontiamo oggi, tristemente eseguito con successo, è stato messo in atto da un gruppo criminale attivo sin dal 2012, che nel tempo ha affinato i propri template e le proprie modalità operative, mantenendo tuttavia alcune caratteristiche costanti nel tempo. Nel suo “portfoglio” target il team criminale può annoverare Eni/Agip, Carrefour, Total Erg, ma la sua azione è in realtà stata molto più ampia, spesso incisiva, intensa e di “successo”.
Venerdì 17 Aprile si è individuato un messaggio di posta fraudolento, partito da un host OVH britannico, presenta le seguenti caratteristiche:
From: “TIM PROMOTIONALS” <[email protected]>
Oggetto: resta connesso con noi 128101696
Corpo del messaggio (in base64):
Salve [email protected]
Benvenuto in Special Day ricarica e vinci. Se ricarichi il tuo telefonino TIM di 25€ entro oggi, ne avrai in omaggio altri 25 al mese per 3 mesi, per un totale di 75€ erogati. Visita ora la pagina dedicata all’offerta attraverso il link sottostante ed afferra al volo la promozione prima che finisca!
Aderisci ora!
Il link celato sotto “Aderisci ora!” portava ad uno short url del servizio bit.do che redirigeva su pagine clone inserite nel dominio timonlinepiu.com, creato ad hoc con nome attinente al target, in hosting presso Register.it.
La home page del sito/dominio presenta la pagina di default dell’hoster, mente il clone viene individuato in sub-directory con nome che viene variato nel tempo dai criminali, risultando comunque sempre raggiungibile caricando l’url
hxxps://timonlinepiucom.serversicuro.it/tim/ (url malevolo)
La struttura del kit prevede un azione di filtro sugli indirizzi ip, affincheé solo i visitatori facenti uso di ip italiano visualizzino il clone.
Le pagine sono pubblicate in HTTPS attraverso serversicuro.it.
Nella giornata di sabato 18 Aprile lo short url risultava essere stato disabilitato, vi sono tuttavia evidenze che le pagine clone hanno continuato a ricevere visite, mietendo vittime, il che lascia presumere l’invio di ulteriori mail di attacco.
E’ ipotizzabile che nei prossimi giorni/settimane gli attacchi inizino ad essere veicolati via sms come avvenuto in passato per Carrefour e TotalErg.
TIM è stata notiziata lo stesso venerdì 17.
Phishing con C2 per aggirare i token otp
PhishingDa tempo si ritiene che l’utilizzo di dispositivi OTP (one time password) sia riuscito a minare le possibilità dei cyber criminali intenzionati ad accedere ai conti correnti degli utenti da cui movimentare i soldi attraverso bonifici, ricariche telefoniche, pagamenti su conti correnti postali, ecc..
E’ innegabile che negli ultimi anni vi sia stato un forte calo dei tentativi di frode di questo tipo, a favore di attacchi di phishing finalizzati a carpire i dati di carta di credito, la cui richiesta può essere inserita in contesti meno allarmanti/sospetti (ricariche telefoniche, acquisto carte ricaricabili, ecc…).
Tuttavia gli attacchi di phishing all’internet banking non sono affatto superati ed hanno anzi visto alcuni gruppi criminali specializzarsi in essi adottando metodiche di interazione diretta con l’utente che consentono loro di sfruttare in tempo reale il token OTP generato dall’utente o dallo stesso ricevuto via sms.
Nel novembre scorso l’‘attività di analisi di un tentativo di frode a danno di un istituto bancario di livello nazionale ha permesso a D3Lab di recuperare il kit di phishing, l’insieme di file usati dal criminale per proporre in internet le proprie pagine fraudolente, il cui esame ha evidenziato la presenza di un pannello di controllo in stile bot-net.
Mantenendo questo pannello aperto sul proprio browser il cyber criminale riceveva un segnale sonoro ogni qualvolta un utente inserisse le proprie credenziali, avendo così modo di intervenire in tempo reale, sfruttando i diversi token otp richiesti dalle pagine di phishing nel breve lasso di tempo della loro validità e riuscendo in tal modo ad ordinare bonifici e pagamenti.
L’analisi del kit, realizzato in php, denotò la sua estremamente funzionalità, sebbene non presentasse una realizzazione particolarmente complessa e non facesse uso di data base, caratteristica che lo rende facilmente installabile all’interno dei siti violati usualmente usati dai phisher.
Nell’ultimo bimestre 2014 questa tipologia di kit è stato individuato in attacchi di phishing a danno di due istituti bancari nazionali e di una grande gruppo bancario che raccoglie oltre una decina di istituti con diffusione su tutto il territorio nazionale.
L’analisi dei file costituenti il kit recuperato e delle pagine web che le sue varianti propone ha fornito elementi che lasciano ipotizzare una sua origine est-europea. Non è al momento dato sapere se questi kit siano in uso agli stessi soggetti che li hanno realizzati o se siano acquistabili sul mercato criminale e ad operare possano essere soggetti italiani. Ciò che è certo è che chi opera lo fa con estrema rapidità, riuscendo in pochi secondi ad ordinare e autorizzare pagamenti per svariate migliaia di euro.
I tentativi di frode individuati erano attacchi di phishing tradizionale, veicolati attraverso le usuali mail fraudolente, senza che venisse fatto alcun uso di codici malevoli, evidenziando ancora una volta le notevoli potenzialità di questa tipologia di attacchi.
Malware via mail anche certificata
MalwareNella giornata odierna sono stati individuati due diversi messaggi di posta elettronica contenenti malware in allegato.
Caso 1:
il messaggio di posta attraverso cui il malware è veicolato fa riferimento all’acquisto di prodotti hardware e software. In allegato è presente il file zip sottomissione983958F.zip contenente un secondo archivio zip avente il medesimo nome, al cui interno è presente il file eseguibile sottomissione983958F.exe
Si rappresenta come nel mese di febbraio una mail con contenuti similari sia stata usata per veicolare l’infezione da malware della tipologia cryptolocker che ha avuto vasta diffusione colpendo moltissimi sistemi aziendali. Il file eseguibile viene riconosciuto quale malware da 18/57 anti-virus engine del servizio VirusTotal (report)
Caratteristiche della mail:
Caso 2:
Il secondo caso risulta particolarmente insidioso in quanto fa uso di posta certificata attraverso cui veicolare l’infezione, facendo semplicemente riferimento all’invio di documenti richiesti e presenti in allegato. Il messaggio sembrerebbe essere stato inviato facendo uso dei servizi pec di actalis.it.
Allegati al messaggio involucro si trovano il file:
L’allegato “scan 2930003 del 09 04 2015.zip” contiene il file “scan 2930003 del 09 04 2015.scr” riconosciuto quale malware da 28/56 anti-virus engine del servizio VirusTotal (report)
Caratteristiche della mail:
E’ interessante notare che i destinatari della mail sono indirizzi mail non facenti parti dei servizi di posta gratuiti, ma collegati a domini privati/aziendali, evidenziando l’interesse di colpire un target specifico .
Malware con mail INPS
MalwareProseguono senza sosta i tentativi di portare gli utenti del web a compromettere i propri sistemi attraverso l’invio di mail con collegamenti a malware o con eseguibili in allegato.
Il tentativo odierno è veicolato attraverso una mail apparentemente inviata dall’INPS, per il preavviso di accertamento relativo ai contributi, avente le seguenti caratteristiche:
Subject: INPS: Preavviso di accertamento per la pratica 33905717
From: “Shafira Chaney” <[email protected]>
testo:
Si trasmette in allegato il preavviso di accertamento negativo relativo ai Durc attualmente in istruttoria presso la sede di CATANZARO.
Questo e’ un messaggio di posta elettronica generato automaticamente dal sistema. La preghiamo di non rispondere/inviare email all’indirizzo mittente, perche’ e’ una casella applicativa, pertanto qualsiasi messaggio non sara’ letto. Per individuare le modalita di contatto dell’INPS, si prega di visitare il portale dell’INPS (www.inps.it).
Clausola di riservatezza
Le informazioni contenute in questo messaggio di posta elettronica sono riservate e confidenziali e ne e vietata la diffusione In qualunque modo e seguita. Qualora Lei non fosse la persona a cui il presente messaggio e destinato, La invitiamo gentilmente ad eliminarlo dopo averne dato tempestiva comunicazione al mittente e a non utilizzare in alcun caso il suo con tenuto. Qualsiasi utilizzo non autorizzato di questo messaggio e dei suoi eventuali allegati espone il responsabile alle relative conseguenze civili e penali.
Notice to recipient
This e-mail is strictly confidential And meant For only the intended recipient of the transmission. If you received this e-mail by mistake, Any review, Use, dissemination, distribution, Or copying of this e-mail Is strictly prohibited. Please notify us immediately of the Error by Return e-mail And please Delete this message From your system. Thank you In advance For your cooperation.
—————————————
Il file allegato Preavviso___Accertamento___RNRRRT82P17C352E.zip contiene un eseguibile con estensione .PIF a cui Virustotal da un rating di 8 su 57 !!
Sebbene il sorgente della mail mostri un invio da client di posta Microsoft
X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331
si ha in realtà evidenza dell’utilizzo di uno script php quale mailer
X-PHP-Originating-Script: 48:mailout.php
apparentemente inoculato in un sito statunitense basato su WordPress.
Ancora malware dai corrieri
MalwareProsegue il tentativo di infezione rilevato nei giorni scorsi con l’invio di false mail apparentemente provenienti da servizi di corrieri.
I veicoli di infezione impiegati oggi dei criminali sono due differenti mail apparentemente inviate da TNT e da Corriere Bartolini.
Subject: NUMERO TRACKING N* 7277 – 4132 – 1994 – 1678
From: “Servizi TNT” <[email protected]>
testo (html):
Buongiorno,
Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.
Link: hXXp://bagmar[DOT]com/order/fattura1.pif?[email protected]
Subject: NUMERO TRACKING N* 5790 – 3514 – 4884 – 2180
From: “BARTOLINI” <[email protected]>
testo (html):
Buongiorno,
Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.
link: hXXp://bagmar[DOT]com/order/[email protected]
Sulle mail box di Libero e Virgilio i messaggi vengono inseriti nella directory SPAM.
Al momento sembrerebbe che qualcosa non sia andato nel verso giusto per i criminali: le mail inviate poco prima delle ore 09:00 CET richiamano loghi non presenti ed anche i file eseguibili, con estensione PIF, non sono più presenti.
L’assenza di tali file è presumibilmente da imputarsi alle richieste di bonificato e messo in sicurezza del sito web, inoltrate da D3Lab nei giorni scorsi, a causa dell’utilizzo del sito in numerosi casi di phishing.
Il ripetersi del tentativo di infezione, ad opera dei medesimi autori, già distintisi per una vivace attività nell’ambito del phishing tradizionale, lascerebbe tuttavia supporre che gli stessi abbiano avuto un positivo riscontro dalla precedente azione, nonostante la presenza di numero errori grammaticali nel testo del messaggio.
Malware con mail TNT
MalwareE’ da poco stata rilevato un nuovo tentativo di infezione attraverso l’invio di mail con malware in allegato.
Nel caso odierno la mail apparentemente inviata dal corriere TNT, che sembrerebbe essere partita da un indirizzo ip francese,
presenta le seguenti caratteristiche
Mittente apparente: “TNT” <[email protected]>
Oggetto: NUMERO TRACKING N* 5784 – 7272 – 3460 – 6312
testo (html):
Buongiorno,
Abiamo chiamato il numero rilasciato al momento dell ordine pero era chiuso,
Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.
———————————
Il link celato sotto l’icon dei file PDF porta al download del file fattura.pif, estensione questa di una tipologia di file eseguibili per sistemi Microsoft Windows
$ file fattura.pif
fattura.pif: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
Al momento attuale su VirusTotal il file ha uno score di 8/57
Appare interessante rilevare negli headers della mail:
– l’utilizzo di un message-id compatibile con l’apparente mittente del messaggio
Message-ID: <[email protected]>
– il possibile tentativo di fuor viare l’identificazione del reale indirizzo ip mittente
Received: from 212.48.24.20 ([185.7.213.127])
by smtp-08.iol.local with bizsmtp
id qEPD1p0122lV0zd08EPDly; Mon, 09 Feb 2015 15:23:13 +0100
– l’apparente utilizzo di The Bat! quale software per l’invio del messaggio
X-Mailer: The Bat! (v1.52f) Business
il link da cui viene proposto il download del file è il seguente
hxxp://hassanbrothers[DOT]com/[email protected]
L’utilizzo di tale dominio presenta un chiaro legame con un gruppo criminale molto attivo, che nelle scorse settimane ed oggi stesso
ha impiegato tale dominio per ospitare redirect con i quali ha portato i visitatori su finte pagine di VIsa Italia, ma non solo.
Non è al momento nota la funzionalità del malware in questione, si consiglia la massima cautela.
Update ore 21:54 09/02/2014:
il sito hassanbrothers[DOT]com sembrerebbe essere stato bonificato sia dal malware che dai file di phishing.