L’attività di monitoraggio degli attacchi di phishing ha consentito di individuare nella prima mattina odierna un tentativo di frode volto a colpire gli utenti italiani della rete, veicolato attraverso un messaggio di posta fraudolento con il quale viene proposto da Agip un forte sconto per l’acquisto di cinquanta litri di carburante.
E’ immediatamente possibile notare come l’indirizzo mittente visualizzato sembri essere parte del dominio legittimo agip.it. L’indirizzo ip mittente indica invece come la mail sia partita da un host collegato alla rete Telecom Italia Mobile.
Il dominio visualizzato nel link proposto fa capo ad un dominio registrato nelle isole Samoa, nell’Oceano Pacifico, solo tre giorni fa.
Seguendo tale link il visitatore giunge a pagine fraudolente riproducenti la grafica ed i loghi di Agip/Eni
posizionate nello spazio web di un dominio tedesco registrato a febbraio 2012.
La prima pagina di “benvenuto” viene seguita dalla richiesta dei codici della carta di credito
che sono verificati lato server.
Nel caso la carta risulti essere emessa da Poste Italiane al visitatore sono richiesti anche i dati di login dell’account presso tale ente.
Apparentemente i criminali eseguono il controllo sull’account Poste e gestiscono le credenziali a seconda che il login sia stato possibile o meno, quindi che le credenziali siano valido o no.
I criminali hanno già raccolto una decina di codici di carte di credito validi.
Il centralino romano di Eni S.p.A. non è riuscito a metterci in contatto telefonico con alcun addetto alla sicurezza, la società è stata avvisata via fax.
A margine del tentativo di frode in questione risulta interessante rilevare dalla pagina di HTTrack Website Copier presente nel sito usato per l’attacco quali siano gli enti/istituti che i criminali operanti intendono colpire
Update: martedì 20 Novembre 2012:
nella prima mattina odierna i criminali hanno cambiato il layout della pagina clone
senza aver tuttavia l’accortezza di modificare il titolo della stessa presente nei tag meta.
L’informazione ricavata fornisce riscontro all’ipotesi che gli autori di tale attacco siano gli stessi dei recenti tentativi di frode a danno degli utenti Vodafone e Wind.
Il dominio utilizzato per l’attacco non è più disponibile.
Update 21 Gennaio 2013:
le informazioni di Eni/Agip agli utenti in relazione ai tentativi di frode.