This site uses cookies. By continuing to browse the site, you are agreeing to our use of cookies.
AcceptAccept Only EssentialsLearn morePotremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per fornire il sito web, rifiutarli avrà un impatto come il nostro sito funziona. È sempre possibile bloccare o eliminare i cookie cambiando le impostazioni del browser e bloccando forzatamente tutti i cookie di questo sito. Ma questo ti chiederà sempre di accettare/rifiutare i cookie quando rivisiti il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
Google Fonts:
Impostazioni Google di Enfold:
Cerca impostazioni:
Vimeo and Youtube video embeds:

Phishing Carrefour via SMS
Non categorizzatoCon l’approssimarsi delle vacanze era ipotizzabile il ritorno delle frodi inerenti la possibilità di risparmiare sugli acquisti di tutti i giorni e su quelli natalizi.
La nuova ondata di frodi volte a colpire i clienti della catena Carrefour viaggia sui dispositivi di telefonia mobile (cellulari, smartphone e tablet), attraverso sms provenienti dal numero di telefono 3270323258 (numero Wind) che con comunicazioni di questo tipo
“Carrefour: Vai sul sito www.carrefourspa.net e richiedi il buono omaggio di 300 euro FONDO MINISTERO SVILUPPO ECONOMICO“
forniscono al ricevente i link alle pagine fraudolente riproducenti la grafica già nota, aggiornata con l’inserimento di dell’elemento grafico del carrello con pacco regalo, da tempo presente nella prima pagina, anche nella seconda pagina.
(prima pagina fraudolenta)
(seconda pagina fraudolenta)
Nelle successiva pagine vengono richiesti i dati della carta di credito
e simulato il controllo del secure code Visa/Mastercard.
Sino ad ora sono stati individuati link a due siti/domini differenti
www.supercarrefour.com (attivo dal 5 Dicembre 2012)
www.carrefourspa.net
i quali contengono la sola home page costituita da un frame traente la sorgente rispettivamente da due diversi siti web, entrambi di recente creazione. Per tutti e due gli attacchi i criminali hanno utilizzato i medesimo fornitori di servizio
La metodica attuata per veicolare l’attacco è interessante perché pone i criminali in condizione di evadere, per ora, i tradizionali canali di monitoraggio per un certo lasso di tempo. Inoltre sarebbe interessante comprendere come i criminali abbiano composto le proprie liste di numeri di telefono a cui inviare i messaggi di testo fraudolenti. Se siano il risultato di ricerche svolte in rete o se possa trattarsi di dati “fuoriusciti” e correlati a reali utenti/clienti di servizi ed offerte Carrefour. In tale ipotesi i criminali starebbero portando attacchi ad elevato potenziale andando a colpire utenti reali dei servizi della società, già da tempo abituati a ricevere via sms informazioni ed offerte.
Update domenica 15 Dicembre 2013:
ulteriori accertamenti hanno portato all’individuazione di un terzo sito/dominio, www.carrefourbuono.org, attivo dal 7 Dicembre, anch’esso strutturato su un unica pagina con frame traente la sua sorgente da www.cadoubrochurpremium.com.
La sorgente del frame inserito in www.carrefourspa.net è invece stata modificata andando a puntare a www.impressioncat.com, questo sebbene le pagine clone posizionate in bussinesscountrymega.com, iniziale sorgente, siano ancora attive.
Ulteriori dettagli possono essere tratti dal post “Phishing Carrefour via SMS. Una interessante segnalazione da parte di un lettore del blog (13 dicembre)” e dai successivi su Edgar’s Internet Tools.
Ulteriori informazioni:
Continua il phishing Carrefour via SMS
Nessun dump da Carrefour SpA
Phishing Telecom Italia Alice old style
Non categorizzatoL’approssimarsi del week-end ha visto tornare all’opera i criminali interessati a colpire gli utenti di Telecom Italia, nel caso specifico del servizio Alice.
In questo caso si è di fronte ad un tentativo di phishing di vecchio stampo, la “consegna” dei dati da parte delle vittime non è infatti veicolata attraverso l’uso di pagine web fraudolente, ma attraverso la risposta allo stesso messaggio di posta elettronica di attacco.
La mail che, come nel caso della scorsa settimana, è partita da un indirizzo IP britannico, presenta le seguenti caratteristiche:
Mittente visualizzato: “TELECOM ITALIA” <[email protected]>
Oggetto: **Security Alert** Verify Your Account
testo del messaggio:
———————————————————————————-
Titolare del conto Alice.it attenzione
Questo messaggio è da Alice Account Management Center.
Abbiamo notato attività sospetta nel tuo account su 13/12/2013. Per la tua protezione, è necessario verificare il tuo account in modo da continuare ad usare correttamente il tuo indirizzo email.
Per evitare interruzioni del servizio o possibile disattivazione del proprio account e-mail, è necessario fornire le informazioni richieste di seguito.
Nome:
Data di nascita:
Indirizzo email:
Password:
Conferma Password:
L’inosservanza di questa email porterà a deleating il tuo indirizzo e-mail dalla nostra database di posta elettronica.
Grazie per la vostra comprensione, vi auguriamo una piacevole giornata in avanti.
L’Alice team di supporto tecnico,
Rete webmail account Management Center.
©2013 Telecom Italia, Inc. all rights reserved.
———————————————————————————-
Rispondendo alla mail si inviano le credenziali ad un indirizzo mail di gmail.
Phishing Vodafone Template migliorato
Non categorizzatoSi è intensificata, in questo terzo quadrimestre, l’attività dei cyber-criminali a danno dei clienti delle Telco italiane, con l’individuazione di nuovi target, quali Telecom Italia ed i suoi servizi per le imprese, e con l’aggiornamento dei template delle pagine clone.
Già in un tentativo di phishing a danno degli utenti Vodafone dei giorni scorsi si era visto l’utilizzo di un nuovo template, adeguato a quello implementato sulle pagine legittime, con risultati dal punto di vista grafico abbastanza scadenti.
a distanza di quattro giorno viene portato un nuovo attacco, facendo uso del medesimo sito violato, in cui è stato inserito un nuovo template dalla grafica decisamente più accattivante e curata.
Il messaggio di posta elettronica fraudolento, partito da un indirizzo IP britannico, presenta le seguenti caratteristiche:
Mittente visualizzato: Vodafone <[email protected]>
Oggetto: Scegli il pacchetto adatto a te
Testo del messaggio (in base64):
————————————————————————————–
Gentile cliente,
Scegli il pacchetto adatto a te completamente gratis.
Ricarica online e i tuoi punti Vodafone one valgono il doppio.
Ricarica adesso
————————————————————————————–
Phishing Telecom ImpresaSemplice
Non categorizzatoI cyber criminali con l’approssimarsi del week-end, esattamente come avvenuto la settimana scorsa (Phishing Telecom [29/11/2013]), nella giornata di Venerdì 6 Dicembre sono tornati a colpire gli utenti di Telecom Italia, nel caso specifico mirando agli account delle imprese facenti uso del servizio “impresa Semplice”.
Il messaggio di posta fraudolento, partito da un indirizzo IP britannico, presenta le seguenti caratteristiche:
Mittente visualizzato: Impresa Semplice di Telecom Italia <[email protected]>
Oggetto: Aggiorna la tua mail Impresa Semplice di Telecom Italia
Testo della mail (html):
—————————————————————————————————————————————-
E’ necessario verificare la tua email Clicca qui per verificare
—————————————————————————————————————————————-
Il link porta ad una singola pagina web, riproducente i loghi di Telecom Italia e Tim, inserita in un sito belga basato su WordPress.
Una volta inseriti i dati l’utente viene riportato sulle pagine web nel corretto dominio Telecom Italia.
Phishing Telecom
Non categorizzatoGli attacchi di phishing finalizzati a carpire i dati di accesso alle mail box rappresentano un’attività per nulla secondaria rispetto al phishig finanziario, colpindo tutti i principali servizi di posta quali Gmail, Yahoo, Hotmail, Aol, ecc….
In ambito italiano in passato si sono rilevati tentativi di frode agli utenti dei servizi di posta di Libero e Tiscali, senza poi scordarsi dei dati di accesso alle mail box richiesti all’interno del phishing finanziario, come avvenuto nell’ultimo tentativo di frode ai danni dei clienti di Banca Popolare di Milano.
Nella giornata odierna D3Lab ha rilevato un tentativo di phishing a danno degli utenti Telecom Italia, le cui credenziali di accesso
al servizio di posta sono richieste in pagine fraudolente riproducenti il logo Telecom posizionate nel dominio “isilis” registrato gratuitamente presso 000webhosting.com, quale dominio di terzo livello.
Il dominio è stato presumibilmente creato al fine di realizzare il tentativo di frode, la root directory risulta esplorabile ed evidenzia
la presenza di 4 file:
– itit.htm è la pagina fraudolenta per ingannare gli utenti Telecom ed invia le credenziali al file ok.php;
– tr.htm è invece una pagina simile alla precedente, riportante i loghi di 163.com e Yeah.net, provider cinesi, Yahoo, WindowsLive
e Gmail, realizzata per ingannare gli utenti di tali servizi, le cui credenziali vengono gestite dal file m.php che, incomprensibilmente riporta al sito della Union Bank of Africa.
Phishing Banca Popolare di Milano
Non categorizzatoNella giornata di ieri mercoledì 27 Novembre 2013, D3Lab ha rilevato un attacco di phishing, al momento (09:30 del 28/11/2013) ancora attivo, a danno degli utenti di Banca Popolare di MIlano.
Il tentativo di frode, come sempre più spesso sta avvenendo, non mira tanto a carpire i dati dell’home banking, quanto quelli della carta di credito e della mail box degli utenti.
La mail di attacco, che appare essere stata inviata attraverso uno script php inoculato in un sito web spagnolo, presenta le seguenti caratteristiche:
Mittente visualizzato: Banca Popolare di Milano <[email protected]>
Oggetto: Avviso importante da BPM Banking
Testo della mail (html):
————————————————————————————————————
Gentile Cliente,
Il tuo account è stato posto sulle restrizioni speciali a causa di recenti operazioni.
Si prega di visitare il link sottostante per confermare la tua identità e per riconquistare il suo valore e l’accesso al tuo profilo bancario.
https://www.bpmbanking.it/pub/xbank/home.do
L’impossibilità di eseguire questo passaggio comporterà la sospensione permanente del tuo account.
Cordialmente,
Banca Popolare di Milano Società Cooperativa a r.l.
P.IVA 00715120150 – Gruppo Bipiemme
————————————————————————————————————
Il collegamento ipertestuale nasconde il link a
http://bpmbanking.it-pub-xbank-home.do.0af7806a38a1ba9d9cbac36ad9aeda70e1c.0d0146638fd6ae870e1c044a751271270af789147127011.[break] 0af7806a38a1ba9d9cbac36ad9aeda70e1c638fd6ae870e1c044a75.sysbanknet.com/Bpmbanking/d/fb6e1d4757d56e73d885e11baa1c9c40/main.php
le pagine di phishing si trovano quindi nella directory fb6e1d4757d56e73d885e11baa1c9c40/ tuttavia copia delle stesse è individuabile in Bpmbanking/
La prima pagina mira a catturare i dati di accesso all’home banking,
trasmettendoli attraverso il metodo GET, codificati in base64,
alla pagina successiva dove, come mostrato dall’immagine sottostante, vengono richiesti dati personali, della carta di credito e di accesso alla casella di posta elettronica.
Il dominio utilizzato risulta registrato nell’aprile 2011 a nome di una società spagnola, tuttavia non risultano essere presenti pagine od informazioni.
E’ interessante notare come usando, non è dato sapere se volutamente, negli header della mail un indirizzo non appartenente a Banca Popolare di Milano
Reply-To: [email protected]
i phisher evitano di far giungere all’istituto le notifiche di mancato recapito per la mail inviate ad indirizzi inesistenti, situazione che dovrebbe/potrebbe generare nell’ufficio preposto i necessari warning proprio inerenti il possibile spread dell’attacco.
Tesco Bank phishing
PhishingTesco is one of the biggest general merchandise retailer operating worldwide. Since several years Tesco offers phone and bank services.
Tesco Bank is one of the targets of cyber criminals, interested in capturing home banking and credit cards data.
In the Net we can find mainly one phishing kit. It’s composed by 2 folders called tesav/ and tescr/, both containig about a hundred html files, all equal, and different php files, as showed in pictures below.
files in tesav/ directory
files in tescr/ directory
The two directory show to the visitors phishing pages that use two different tempaltes:
dir tesav template
dir tesav/ step 1
dir tesav/ step 2
dir tesav/ step 3
dir tescr template
dir tescr/ step 1
dir tescr/ step 2
dir tescr/ step 3
dir tescr/ structure
In both cases cyber criminals ask for account access data and personal data, but only pages in tescr/ directory ask for credit card data. In all cases, after sending data in the third page, visitors go back to trusted Tesco Bank web site.
D3Lab started monitoring phishing against Tesco Bank users in the beginning of the last August, identifying 58 different kit installation. If each kit presents 200 html pages, the phisher may count on 11600 different fraud url.
Analysing phishing kit is possible determinate that stolen credentials have been sent via mail to criminals .
D3Lab identified ten different email addresses (gmail.com, aol.co.uk, hotmail.co.uk, bluemail.com, mail.mn) used by criminals, that could be operating at least in two or three different teams.
Luckily Tesco Bank seems to be very attentive about the on-line fraud problem, in it’s web site it presents several pages about phishing, fraud and how to operate in case them occur:
Guard against phishing;
How to identify a genuine Tesco Bank email;
How Fraud occurs;
How we protect you;
Security and fraud.
Update 2016/11/08 (three years late):
phishing against Tesco Bank users, D3Lab monitoring

Con cosa vengono visitate le pagine di phishing
Non categorizzatoL’avvento dei dispositivi mobili porterà alla fine del fenomeno phishing?
L’analisi di alcuni dati estratti da file di log relativi a siti web coinvolti in recenti casi di phishing ai danni degli utenti di un ente
italiano forniscono alcune informazioni interessanti. I due casi in esame hanno permesso di raccogliere informazioni relativa a 218 differenti visitatori delle pagine di phishing. Ipotizzando che nessuno di loro abbia utilizzato estensioni del browser atte a modificare lo user agent trasmesso dal browser al server e che quindi i dati sia corretti, si evidenzia, come riportato nella tabella sottostante,
come il 24,7 % sia giunto sulle pagine fraudolente facendo uso di dispositivi mobili, il 61,9 % abbia fatto uso di sistemi operativi Microsoft Windows, il 41,5 % dei quali datati, ed il restante 38,1 di sistemi operativi di derivazione Unix, rientrando tra di essi i dispositivi mobili.
Per il futuro ci si può aspettare un aumento dei dispositivi mobili, in considerazione del fatto che anche gli smartphone di recente produzione hanno display sufficientemente ampi da consentire una fruizione abbastanza comoda dei contenuti web.
Sebbene i browser di cui tali dispositivi sono dotati implementino i meccanismi di sicurezza atti ad avvisare l’utente della visualizzazione delle pagine web fraudolente, non sempre queste sono segnalate tempestivamente ed esiste, quindi, un intervallo temporale nel quale il criminale può perpetrare il proprio atto criminoso, traendo vantaggio anche dalle ridotte dimensioni del display.
Queste potrebbero non permettere all’utente di riconoscere correttamente il dominio visitato, dettaglio essenziale a cui porre attenzione se pensiamo che i criminali, pur di riuscire nella frode, sono disposti a spendere per un certificato SSL da abbinare a domini creati ad-hoc.
Certificato la cui presenza è invece evidenziata chiaramente nella barra degli indirizzi, distogliendo l’attenzione della vittima dal reale dominio visitato e mal visualizzato nel display di ridotte dimensioni del dispositivo mobile.
I dati relativi ai sistemi operativi utilizzati lasciano poi il fianco a diverse considerazioni: da una parte esiste la possibilità che i criminali implementino le pagine di phishing con exploit volti a colpire browser e sistemi datati per inocularvi malware, metodica al momento poco diffusa, dall’altra il crescente numero di utilizzatori di dispositivi mobili, rappresentanti già quasi un quarto del totale, potrebbe portare le organizzazioni criminali ad investire maggiormente per lo sviluppo di applicazioni per tali dispositivi, da distribuirsi attraverso pagine e mail di phishing, o fatte tanto bene da riuscire a superare i controlli degli apps store.
Phishing Vodafone + carburanti
Non categorizzatoI criminali propongono nuovamente allettanti offerte agli italiani, impegnati a far quadrare i propri bilanci, con il solo fine di carpire i dati delle loro carte di credito.
La frode odierna ha come principali obbiettivi i clienti Vodafone e tenta di ingannarli proponendo loro di ottenere, a seguito di una ricarica di almeno 20,00 Euro, un buono carburante del valore di 20,00 Euro da spendersi presso le stazioni di servizio ENI, Tamoil ed ERG.
La mail fraudolenta odierna presenta le seguenti caratteristiche:
mittente apparente: Vodafone;
oggetto: Vodаfoոe Yοս ρrеmіa tսttі i cliеnti сoո bυоni carbυraոte alle stazіoni ԁi sеrѵіzi Εոi, Τаmоіl, Тօtal ERԌ іd: 667674320;
testo del messaggio (codificato in base 64):
A Novembre Vodafone You premia tutti i clienti con buoni carburante alle stazioni di servizi Eni, Tamoil, Total ERG Per sfruttare la promozione, basta fare una ricarica da almeno 20 euro entro il 5 novembre e ricevi 20 euro regalo buoni carburante.
Successivamente ricevrai entro 12 ore un SMS con codice buono carburante. Per usarlo è necessario recarsi presso una delle Eni Station, Tamoil e Total ERG. Al momento del pagamento, basta mostrare il codice (o i codici) alla cassa.
Ricarica: Ricevi il tuo Buono
Tutte le copie del messaggio di posta fraudolento rilevate da D3Lab risultano essere state inviate dallo stesso indirizzo IP britannico ed essere transitate su server di posta elettronica spagnoli, statunitensi e cinesi.
Cliccando sul collegamento ipertestuale i destinatari del messaggio vengono portati a pagine web fraudolente all’url
http://scroncewellandpump.com/vodafone/[email protected]
La presenza dell’indirizzo mail del destinatario all’interno dell’url consente ai criminali di avere url sempre differenti, idonei ad evadere i meccanismi di black listing implementati quali meccanismi di sicurezza dai browser più diffusi. In realtà, differentemente da quanto avvenuto in altri casi, l’indirizzo mail non è obbligatorio al fine di visualizzare la pagina web fraudolenta. La stessa, come già avvenuto in passato, è realizzata usando un unica immagine di sfondo >su cui vengono sovrapposti, grazie al codice html, i campi del form in cui la vittima inserirà i propri dati di carta di credito.
In base alla tipologia di carta di credito inserita il visitatore varrà indirizzato ad una successiva pagina di validazione del secure code di Carta Sì (vedasi iIlustrazione 3) o a pagine riproducenti la grafica di Poste Italiane o Lottomatica nelle quali verranno richiesti i dati di accesso ai relativi account.
Il dominio SCRONCEWELLANDPUMP.COM , nel cui sito web in cui sono state inserite le pagine fraudolente, risulta di recente creazione
Phishing UBI Banca
Non categorizzatoDa tempo si è rilevato un forte orientamento dei criminali verso le carte di credito, strumento di più facile abuso a seguito della sempre più diffusa adozione di strumenti di autenticazione forte.
In tal senso si è mosso anche il gruppo criminale identificato da più lungo tempo che nella giornata odierna ha rivolto le proprie attenzioni ai clienti di UBI Banca nel tentativo di carpire loro i dati delle carte di credito con l’invio di una mail fraudolenta contenente avente le seguenti caratteristiche:
Mittente visualizzato: non rilevato
Oggetto: Proteggi il tuo accounto UBI Banca.
Testo della mail:
———————————————————————————
Gentile Cliente,
Abbiamo rilevato attivita irregolari sul tuo UBI Internet banking sul conto 18/10/2013.
Per la tua protezione, necessario verificare questo attivita prima di poter continuare a utilizzare il conto.
Si prega di scaricare il documento allegato alla presente e-mail a rivedere le attivita del proprio account.
Rivedremo l’attivita sul tuo conto con voi e alla verifica, e ci consentira di eliminare le restrizioni imposte alle il tuo account.
Se scegliete di ignorare la nostra richiesta, ci lasciano scelta ma di sospendere temporaly tuo account.
Se scegli di ignorare la nostra richiesta, ci lasciano scelta di sospendere temporaneamente il tuo account.
Ti chiediamo di consentire almeno 72 ore per il caso di essere indagato e si consiglia di verificare il tuo conto in quel momento.
Con i migliori saluti,
Roberto Baggio
Responsabile della comunicazione del Cliente
?Gruppo UBI Banca 2011 – P. I. 03053920165
———————————————————————————
contenente un allegato html che aperto in locale mostra a browser la pagina riprodotta dall’immagine sottostante
ed invia le credenziali, attraverso il tag form, ad un file php posizionato in sito web greco.
Anche in questo caso siamo di fronte ad un gruppo criminale che è stato possibile “profilare” sin dal 2009, responsabile nel corso degli anni di attacchi a moltissime casse di risparmio e banche regionali e provinciali, nonché degli attacchi di quest’ultimo anno a Poste, Visa, Carta Si, Deutsche Bank, ecc..
Update:
Alle ore 11.49 la pagina fraudolenta che gestiva il form non è più raggiungibile.
Update Sabato 19 Ottobre 2013:
nella tarda serata di ieri, Venerdì 18/10/2013, il file è stato nuovamente caricato dai criminali, i quali sin dal 2009 utilizzano quasi sempre la medesima vulnerabilità per eseguire l’upload dei file.