This site uses cookies. By continuing to browse the site, you are agreeing to our use of cookies.
AcceptAccept Only EssentialsLearn morePotremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per fornire il sito web, rifiutarli avrà un impatto come il nostro sito funziona. È sempre possibile bloccare o eliminare i cookie cambiando le impostazioni del browser e bloccando forzatamente tutti i cookie di questo sito. Ma questo ti chiederà sempre di accettare/rifiutare i cookie quando rivisiti il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
Google Fonts:
Impostazioni Google di Enfold:
Cerca impostazioni:
Vimeo and Youtube video embeds:

Phishing Findomestic
Non categorizzatoIl monitoraggio D3Lab ha portato nella giornata odierna al rilevamento di un tentativo di frode ai danni dei clienti Findomestic Banca, veicolato attraverso l’invio di almeno due differenti messaggi di posta elettronica.
Sono infatti stati individuati due url finali differenti strutturati, grazie all’uso di wildcard per il dominio di terzo livello, in modo da trarre in inganno gli utenti visualizzando nella barra degli indirizzi la la stringa https.secure.findomestic.it.
L’attacco è portato facendo uso di 4 domini compromessi, due per i redirect, due per le destinazioni, posizionati sul medesimo host thailandese, attraverso i cui pannelli di gestione dei dns sono stati abilitati i terzi livelli con wildcard.
Tutti gli url così realizzati puntano ad un medesimo indirizzo ip statunitense dove è possibile visualizzare le due pagine web fraudolente realizzate al fine di catturare i dati di carta di credito e le credenziali di posta elettronica dei clienti Findomestic.
Al termine della procedura le vittime sono riportate su pagine del legittimo sito web Findomestic.
Phishing InBank
Non categorizzatoNella giornata odierna il monitoraggio D3Lab ha permesso di rilevare un tentativo di phishing a danno dei clienti deli istituti di credito facenti uso del sistema di home banking InBank gestito dalla Phoenix Informatica Bancaria SpA, società che fornisce servizi bancari a 150 anche sul territorio nazionale.
La mail di phishing, partita da un indirizzo IP peruviano, presenta le seguenti caratteristiche:
Mittente visualizzato: InBank.it”<[email protected]>
Oggetto: MPCYXHKHXD
Corpo del messaggio:
————————————————————————
Per ragioni di Sicurezza e Protezione, e per il miglioramento del nostro servizio и necessario confermare il tuo conto. Per questo, и necessario Scaricare e completare il documento allegato © InBank.it 2014 (Phoenix Informatica Bancaia) IRJWLZOJVWXHLSNHYXEPPVOKVRSZFKPUOQPRUW
————————————————————————
Allegato: InBank.Html
Il messaggio non è fortunatamente di buona fattura: sebbene in apparenza provenga da un indirizzo mail appartenente al dominio inbank.it, presenta un oggetto assolutamente criptico e, particolare maggiormente rilevatore, la mancata riproduzione del carattere “è” in luogo del carattere “и”, chiaro indicatore dell’opera di persone dell’Europa dell’Est o di Russia e paesi limitrofi.
La mail porta con se in allegato un file html, denominato InBAnk.hmlt, che aperto in locale presenta il logo del servizio
InBank ed un form in cui sono richiesti codice di accesso, password, indirizzo email e, per due volte consecutive, token otp. I dati sono inviato a pagine php posizionate su un server statunitense, dove, ricevuto un messaggio di errore si viene invitati
a reinserire la medesima tipologia di dati richiesti dall’allegato. Al termine della procedura si approda su pagine legittime del servizio InBank.
L’analisi di parte del codice php utilizzato dai criminali fornisce una ulteriore informazione sulla loro origine: se si cercano in
rete informazioni relative al nick name riportato quale firma in seconda riga (// made by NoiDoi) si individuano notizie riferite a due artisti (cetamente estranei ai fatti) del panorama musicale romeno.
Phishing CheBanca 2/2014
Non categorizzatoD3Lab ha rilevato in data odierna un tentativo di phishing a danno degli utenti CheBanca.
La mail di phishing, partita da un host belga, presenta le seguenti caratteristiche:
mittente apparente: [email protected]
oggetto: Inattività del suo conto
testo del messaggio (in base 64):
————————————————————————————————————
In filiale ti sono state consegnate 2 buste contenenti le tue credenziali:
La Tessera Personale, su cui sono indicati il tuo Codice Cliente e i Codici Dispositivi.
Il Codice di Accesso.
Le credenziali sono ora attive e pronte per essere utilizzate!
Per inattività del suo conto, le chiediamo di aggiornare il suo conto effettuando
l’accesso nella sua area clienti.
Nell’Area Clienti alla sezione Conto Tascabile>Informazioni > Informazioni sul Conto trovi la copia del Modulo di Apertura firmato
da CheBanca! a conferma dell’attivazione del conto.
» Accedi ai servizi online
Con i nostri migliori saluti,
CheBanca! S.p.A.
————————————————————————————————————
dove “Accedi al servizio online” celava il link ad una singola pagina fraudolenta inoculata in sito web messicano,
nella quale era richiesto all’utente il codice cliente, la data di nascita ed il pin, da digitare con il tastierino virtuale.
Inseriti i dati si approdava al sito legittimo di CheBanca.
Il dominio messicano è stato messo off-line mentre redigevamo il presente articolo.
Phishing Fineco Bank
Non categorizzatoNella giornata odierna l’attività dei segnalatori collaboranti con D3Lab ha permesso l’identificazione di due tentativi di phishing a danno di clienti Fineco Bank.
Le due mail fraudolente, entrambe partite dal medesimo indirizzo IP francese, presentavano le seguenti caratteristiche:
mittente visualizzato: “FinecoBank”<[email protected]>
oggetto (mail 1): Attenzione! Urgente rinnovo del sistema di sicurezza di pagamenti
oggetto (mail 2): Attenzione! Sistema di sicurezza della nostra banca.
corpo del messaggio:
———————————————————————————————————————————————————————
Gentile Cliente,
Egregi clienti della banca internet FINECO. Vi informiamo su ultime novita del sistema di sicurezza della nostra banca. La rinovata tecnologia e il nuovo server ci permetterano ad entrare all’altro livello di sicureza per i vostri pagamenti online.
La banca FINECO insiste all’esecuzione obbligatoria della procedura di autentificazione ripetuta per transferire il piu presto la vostra informazione personale al nuovo e piu sicuro server della nostra banca.
Per far funzione il vostro conto corente e carta di credito in modo regolare e necesare convalidare i dati al nuovo server proteto (https://www.fineco.it/sicurezza [l’url precedente nasconde il link a due siti compromessi]) usando la combinazione Codice Utente , Password e dati relativi alla carta di credito , altrimenti entro 24 ore il vostro conto sara temporaneo bloccato per far uscire i mezzi finaziari allo scopo di evitare il numero sempre piu incremento di azioni ilicite.
Per maggiori informazioni puo’ contattarci dalla sezione “Help e contatti” in area riservata del sito oppure chiamando i numeri:
– 800.52.52.52 (dall’Italia)
– 02.2899.2899 (dall’estero e da cellulare)
La ringraziamo per aver scelto Fineco.
Cordiali saluti,
Customer Care
FinecoBank
———————————————————————————————————————————————————————
Gli utenti più ingenui che non comprendessero, dall’italiano sgrammatica del testo del messaggio, di trovarsi in presenza di una frode, cliccando sull’url riportato dal messaggio verrebbero condotti dai collegamenti ipertestuali presenti nella due mail a pagine fraudolente inseriti in siti web, presumibilmente violati, collocati sul medesimo server statunitense.
Nella prima pagina, riprodotto nell’immagine sottostante, vengono richieste user name e password di accesso all’account di home
banking al fine di “introdurre” la vittima in una cornice grafica a lui nota, inducendolo ad abbassare l’attenzione, per poi chiedergli, nella seconda pagina fraudolenta, dati personali e codici e password relativi alla carta di credito.
Dopo aver inserito e confermato i dati la vittima viene ricondotta al sito legittimo di Fineco Bank.
Nessun dump da Carrefour SpA
Non categorizzatoA seguito della pubblicazione degli articoli riguardi il phishing contro gli utenti Carrefour
Phishing Carrefour via SMS
Continua il phishing Carrefour via SMS
molti lettori hanno commentato fornendoci utili informazioni relativamente alle modalità di realizzazione della frode e sollevando talvolta qualche dubbio riguardo alla gestione dei loro dati da parte di Carrefour SpA, ipotizzando una fuoriuscita di dati sensibili dalla rete delle società.
A tutt’oggi D3Lab esclude che ciò sia avvenuto.
Abbiamo svolto alcune ricerche contattando via mail parte dei commentatori per avere informazioni di prima mano da chi aveva ricevuto l’SMS fraudolento. Sebbene alcuni commentatori fossero effettivamente clienti Carrefour, inevitabile vista la presenza sul mercato nazionale di tale marchio, molti altri non lo erano e non sono mai stati clienti Carrefour.
D3Lab ha verificato se i numeri di telefono dei commentatori che lo hanno indicato fossero individuabili in rete attraverso l’uso dei motori di ricerca. Anche tale ipotesi è stata fugata dato che diversi numeri segnalatici non sono risultati presenti sul web.
D3Lab reputa quindi che i criminali, assai semplicemente, abbiano realizzato in modo automatizzato le liste di numeri di telefono a cui spedire i messaggi, procedendo quindi ad un invio indiscriminato di SMS.
A parere di D3Lab quanto supposto da alcuni lettori, riguardo la fuoriuscita di dati dei clienti Carrefour dalle strutture della società stessa, appare quindi privo di fondamento.
Coloro che volessero fornirci informazioni riguardo alla frode possono indicare nei commenti o in mail spedite a [email protected]:
Qualsiasi altra informazione quale:
è gradita.
Non è il caso che ci contattiate telefonicamente, mail e commenti sono sufficienti.
D3Lab spera che le informazioni fornite dai lettori e rese pubbliche nei commenti siano di utilità alle forze dell’ordine ed a Carrefour SpA nel contrasto di queste frodi
Phishing via SMS report
Non categorizzatoI recenti casi di phishing veicolato via messaggi SMS hanno evidenziato alcune problematiche relative alle attività di contrasto e monitoraggio del fenomeno.
D3Lab ha ritenuto utile esaminarle per comprendere quali potessero essere le azioni più idonee a permettere una tempestiva individuazione delle campagne di attacco al fine di consentire l’applicazione di efficaci azioni di contrasto.
Ne è nato un documento, “Considerazioni sulla modalità di diffusione delle frodi on-line attraverso dispositivi mobili”, indirizzato
principalmente a CIO/IT Manager ed operatori del settore, pensato quale spunto di riflessione per lo sviluppo di metodiche di gestione e linee operative da adottarsi in risposta alla specifica tipologia di aggressione informatica.
D3Lab resta in attesa di feedback e considerazioni da parte di operatori del settore e lettori.
Download
Continua il phishing Carrefour via SMS
Non categorizzatoIl 14 Dicembre 2013 abbiamo riportato la presenza in rete di tentativi di phishing a danno dei clienti Carrefour portati attraverso l’invio di falsi sms promozionali in realtà non provenienti dalla rete Carrefour, ma inviati in massa da cyber criminali.
Nella giornata di ieri, primo dell’anno, D3Lab è stata contattata telefonicamente da utenti che richiedevano conferma della veridicità o meno del messaggio giunto sui dispositivi mobili nel quale si prospettava la possibilità di ricevere un buono spesa da 300 Euro:
“Carrefour.: Congratulazioni, vai sul sito internet www.carrefourspa.org e richiedi il buono spesa da 300 euro Fondo aiuto alle famiglie MINISTERO SVILUPPO ECON.“
L’analisi delle statistiche del nostro sito web ha evidenziato un improvviso interesse per l’articolo relativo alla frode in questione
con i visitatori che vi giungono con ricerche mirate a trovare conferma della veridicità di un’offerta tanto allettante.
L’evidente impennata di visualizzazioni avutasi nella giornata di ieri ed i nuovi commenti inseriti dai visitatori all’articolo dello scorso 14 Dicembre, sono chiari indicatori della diffusione di un nuovo tentativo di phishing, finalizzato a condurre i destinatari dell’sms
fraudolento sulle pagine clone posizionate all’url www.carrefourspa.org (è un sto truffa, siate prudenti).
Chi desiderasse maggiori dettagli può consultare l’ultimo aggiornamento pubblicato sul blog Edgar’s Internet Tools.
Utilizzando i motori di ricerca si individuano siti in cui sono raccolte segnalazioni relative ai numeri di telefono utilizzati per azioni marketin aggressivo o vere e proprie frodi, da cui traspare, leggendo i commenti, la reale pericolosità di tali minacce
tanto più che i criminali hanno usato uno strumento, l’sms, utilizzato anche da Carrefour per pubblicizzare le proprie offerte.
Carrefour da parte sua ha pubblicato un warning sul proprio sito web raggiungibile con un link in home page e notizia della truffa è riportata anche sul sito web del Ministero dello Sviluppo Economico.
La frode realizzata attraverso l’uso di SMS consente ai criminali di evadere parte dei controllo messi in atto delle società che si occupano di monitorare e contrastare il fenomeno, prevalentemente orientati ad un analisi di quanto si muove in Internet.
Apparentemente i numeri di cellulare di chi riceve i messaggi sembrerebbero essere stati raccolti dai criminali sul web. Per aver maggiori riscontri invitiamo pertanto chi abbia ricevuto gli sms fraudolenti ad indicarci il proprio numero di cellulare su cui ha ricevuto il messaggio al fine di permetterci di svolgere maggiori ricerche. Ogni dato comunicatoci verrà trattato nel rispetto delle vigenti normative relative a privacy e dati personali, non pubblicato da alcuna parte, né comunicato a terzi, se non alle forze dell’ordine ed alla Magistratura, nel caso tali organi lo ritengano necessario.
Sin da quando D3Lab ha rilevato tale tipologia di attacco si è provveduto a darne notizia a Carrefour ed alle forze dell’ordine, indipendentemente dal fatto che la società non rientri tra i nostri clienti. In questo momento storico, con l’imperante crisi economica,D3Lab ha ritenuto che tale frode rappresenti per le famiglie un insidia reale, da evitare assolutamente, anche se ciò possa significare operare a sfavore delle nostre logiche di mercato e dei servizi da noi erogati/venduti.
Per tali motivi anche se chi legge queste righe non è desidera fornire informazioni alla nostra azienda, vi invitiamo comunque a segnalare i numeri di telefono mittenti ed i siti web indicati negli sms a Carrefour SpA, consentendo alla società stessa un celere monitoraggio e contrasto dei siti fraudolenti, difficilmente individuabili se non si rientra tra i destinatari scelti dai criminali.
Ulteriori informazioni:
Nessun dump da Carrefour SpA
Phishing Expedia
Non categorizzatoDallo scorso marzo i cyber criminali si sono interessati agli albergatori iscritti ai portali di prenotazione alberghiera, realizzando tentativi di frode a danno degli utenti di Venere.com con oltre 20 pagine fraudolente finalizzate alla catture di user name e password, sia attraverso file html allegati alle mail di attacco, sia con pagine clone posizionate in siti violati o domini registrati ad hoc.
In data odierna è stato rilevato un tentativo di phishing a danno degli albergatori iscritti al portale Expidia, partner di Venere.com
il cui testo
———————————————————————
Gentile albergatore,
Grazie alla migrazione a EPC potrà contare su un’ampia gamma di vantaggi, inclusi piani tariffari, avanzate funzionalità di marketing e semplici opzioni di supporto, come assistenza clienti e contabilità. La procedura di migrazione a EPC per il suo hotel è stata avviata. Per approfittare al meglio delle opportunità disponibili per la sua struttura, clicchi sulle tabelle sovrastanti per ingrandire ciascuna sezione e verificare/completare le informazioni necessarie sul suo hotel.
La migrazione del suo hotel a EPC avverrà tra 3 giorni, data della migrazione: 25 dicembre 2013.
Per ricevere le notifiche relative a prenotazioni e cancellazioni via fax, fare clic qui.
———————————————————————
cela sotto la dicitura “fare clic qui” il collegamento ipertestuale alla pagina fraudolenta, inoculata in un sito web thailandese,
riproducente i loghi Expedia, nella quale sono richiesti user name e password, inseriti i quali si viene riportati alle pagina legittime del sito Expedia.
D3Lab ipotizza che l’accesso all’account albergatori permetta di leggere le credenziali delle carte di credito su cui le società accreditano all’albergatore la sua percentuale di quanto pagato da chi effettua la penotazione.
Ancora Phishing SNAI
Non categorizzatoProsegue il tentativo dei cyber criminali di carpire le credenziali degli utenti del portale di scommesse on-line della SNAI, con i due tentativi odierni si arriva a quattro diverse pagine web fraudolente tutte attive, sebbene il primo rilevamento sia di giovedì 19.
I messaggi di posta fraudolenti odierni, partiti da indirizzi IP tedeschi, presentano le seguenti caratteristiche:
Mittente visualizzato: “Snai Card” <[email protected]>
Oggetto: Snai: novità! Abilita il nuovo sistema di sicurezza sulla tua snai card
testo del messaggio:
—————————————————————————–
Dal 22 gennaio entra in vigore la nuova legge per la sicurezza del tuo account snai.
Per poter giocare o scommettere online su Sport, Ippica, V7, Totocalcio, Big, Skill games, Giochi, Bingo, Superenalotto, Win for life occorre aggiornare il proprio account cliccando qui
Maggiori informazioni sono disponibili nella sezione Aiuto e su richiesta all’indirizzo [email protected].
Nei punti vendita contraddistinti dal marchio Punto SNAI presenti su tutto il territorio nazionale è possibile scommettere su Sport, Ippica, Tris, Totocalcio.
Per trovare i punti vendita più vicini, e con i prodotti di tuo interesse, visita la sezione Dove scommettere.
—————————————————————————–
con il collegamento ipertestuale alle pagine fraudolente celato dalla dicitura “cliccando qui”.
I rilievi permessi dall’ampio monitoraggio svolto da D3Lab permettono di attribuire la paternità degli attacchi al medesimo gruppo impegnato a colpire di operatori di telefonia mobile, i cui cloni vengono ora inseriti sul medesimo server FortressITX
Phishing SNAI
Non categorizzatoIl passare del tempo sta evidenziando in modo sempre più lampante come il phishing non sia destinato a finire, ma solo a trasformarsi. I criminali con un minimo di fantasia possono portare le truffe, attraverso l’ingegneria sociale, verso gli utenti di tutti quei servizi per i quali sia un minimo plausibile la richiesta di dati personali o bancari/finanziari.
Negli ultimi mesi si sta assistendo ad un attacco sempre più massiccio verso enti non bancari, dai supermercati ai fornitori di energia, alle telco, ai portali di giochi e scommesse on-line.
Proprio sulle scommesse on-line tornano a colpire i criminali, dopo aver già rivolto in passato l’attenzione a Gioco Digitale ed Eurobet, mirando agli utenti del portale SNAI con un attacco dal sapore classico.
Il messaggio di posta fraudolento, partito da un indirizzo IP tedesco, presenta le seguenti caratteristiche:
Mittente visualizzato: Assistenza clienti
Oggetto: ЅNАІ: Տі рrеga ԁi segսіre lе iѕtruzіօոi ոеlle еmaіl. clіеոto: 139367252
Testo del messaggio:
———————————————————————————————————–
A causa della recente perdita di dati, la società SNAI si chiede di accedere subito al sito e controllare il saldo del conto.
Registrati ora
———————————————————————————————————–
dove “Registrati ora” cela il collagamento ipertestuale che conduce l’utente a visitare la pagina clone, posizionata su un server
della francese OVH usato sin dal 13 Dicembre per portare numerosi attacchi ai maggiori operatori di telefonia mobile italiani.
La pagina fraudolenta ha il solo scopo di catturare le credenziali di accesso all’account, visualizzando al loro inserimento un pop-up
di ringraziamento, redirigendo quindi al legittimo sito SNAI.