Virgilio Mail è la piattaforma di WebMail offerta gratuitamente da Italiaonline S.p.A. ampiamente sfruttata da diversi utenti Italiani, i primi attacchi di Phishing a loro danno li abbiamo rilevati nel 2017 come vi abbiamo mostrato lo scorso settembre. Nel primo trimestre del 2018 abbiamo rilevato un trend decisamente in crescita a conferma che Virgilio è un target apprezzato dai Phisher.
Dal 1 Gennaio 2018 ad oggi abbiamo rilevato 13 nuove segnalazioni di Phishing nove di esse sfruttano domini appositamente creati per ingannare l’utente, ovvero:
virgilio-387246834310[.]com
virgilio-387246834312[.]com
virgilio-387246834313[.]com
virgilio-387246834314[.]com
virgilio-387246834315[.]com
virgilio34985794[.]com
virgilio34985795[.]com
virgilio34985796[.]com
virgilio34985798[.]com
La rilevazione di queste segnalazioni di Phishing è stata possibile grazie all’attività di Brand Monitor che svolgiamo per monitorare la registrazioni di nuovi dominii eventualmente sfruttabili per attività illecite come il Phishing, la diffusione di Malware, lo spear phishing e le frodi attraverso vendita o acquisto di servizi e prodotti.
L’intento del Phisher nelle segnalazioni ad oggi rilevate è di carpire le credenziali della eMail dell’utente. Invitiamo pertanto gli utenti a fare massima attenzione e controllare il sito web che si visita.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/03/Phishing_VirgilioMail.png?fit=1072%2C797&ssl=17971072Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-03-28 15:01:202018-03-28 15:01:20Phishing ai danni di Virgilio tramite dominii Ad hoc
Subito.it è probabilmente il principale sito di compravendita tra privati in Italia, dall’analisi dei nuovi dominii registrati (Brand Monitor) che quotidianamente eseguiamo per contrastare e analizzare il Phishing ieri 1 Marzo 2018 abbiamo rilevato la registrazione di un dominio sospetto.
Monitorando costantemente il contenuto di tale dominio, inizialmente irraggiungibile, abbiamo individuato nella tarda serata di ieri sera la presenza di un kit di Phishing ai danni di Subito.it. La pagina fraudolenta, che vedete nello screenshot iniziale, richiede alla vittima le proprie credenziali (eMail e password) per accedere al portale di compravendita, digitate le quali l’utente viene poi indirizzato al sito ufficiale.
Subito.it ha da alcuni mesi introdotto la possibilità di visualizzare la storicità di un venditore, mostrando da quanto tempo è registrato e quanti annunci ha pubblicato, per prevenire le frodi sul portale e dare maggiore fiducia ad un possibile acquirente.
Il Phisher impossessandosi delle credenziali di un venditore storico potrebbe modificare gli annunci esistenti o crearne di nuovi e attuare una truffa verso possibili acquirenti, avvalendosi della fiducia che il compratore ha nei confronti di venditori con una ampia storicità di vendite.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2018/03/Phishing_Subito.png?fit=1278%2C927&ssl=19271278Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-03-02 09:59:202018-03-02 09:59:20Phishing ai danni di Subito.it
D3Lab opera da diversi anni nell’analisi e nel contrasto del Phishing ai danni dei principali Istituti Bancari Italiani o Big Corporate, negli ultimi anni si è però maggiormente affermato il fenomeno dello Spear Phishing con una crescita nel 2017 di oltre il 1000% come sottolinea il ClusIT.
Spear Phishing: Indica un tipo particolare di phishing realizzato mediante l’invio di Email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è tipicamente quello di ottenere accesso ad informazioni riservate di tipo finanziario, a segreti industriali, di stato o militari. {CERT Nazionale}.
I phisher che adottano questa tecnica hanno una profonda conoscenza delle vittime e realizzano campagne di Phishing Ad hoc su servizi o applicazioni che la vittima usa quotidianamente.
Dalle immagini sovrastanti si può notare una campagna di Spear Phishing eseguita ai danni di una multinazionale che sfrutta per l’appunto i servizi di Microsoft Office 360 e DropBox, alcuni dipententi hanno ricevuto una eMail con un documento HTML allegato. Aprendo tale documento viene richiesta la conferma delle credenziali per accedere ai sopracitati servizi. Il phisher ha l’obiettivo di ottenere le credenziali degli utenti per poter accedere alle loro caselle mail e proseguire le attività illecite richiedendo per esempio bonifici bancari o eseguendo ordini verso altre società.
Il Team di D3Lab è intervenuto contrastando di questo fenomeno ottenendo la disabilitazione dei server Brasiliani e Australiani a cui venivano inviate le credenziali.
Carrefour Banca, succursale di Carrefour Banque in Italia, è un istituto di credito Italiano che subisce attività di Phishing dal 2013 con un andamento statistico non lineare. Nel 2013 rilevammo complessivamente dodici segnalazioni, nel 2014 undici segnalazioni, nel 2015 non abbiamo rilevato alcun attacco, infine nel 2016 e nel 2017 un solo attacco.
Per il 2018 invece stiamo rilevando un trend in crescita che porterebbe gli attacchi di Phishing nel 2018 superiori a quelli del 2013. Infatti nei primi 45 giorni del 2018 abbiamo già rilevato 3 attacchi di Phishing.
Attacchi di Phishing a danno di Carrefour Banca
L’utente viene invitato a confermare le proprie credenziali di accesso al Home Banking e successivamente a compilare le informazioni della propria carta di credito.
Infine viene richiesto l’inserimento del codice OTP ricevuto dalla vittima sul proprio cellulare per autorizzare l’addebito sulla carta di credito.
L’ultimo attacco di Phishing rilevato il 14 Febbraio coinvolge due distinti dominii web compromessi e sfrutta, per vanificare l’immediata efficacia delle BlackList, la generazione di directory casuali così che ogni visitatore visualizzi un URL diverso dai precedenti.
Come sempre invitiamo gli utenti a prestare la massima attenzione alle comunicazione via SMS o eMail che ricevono.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2018/02/CarrefourBanca_Phishing_02.png?fit=1503%2C812&ssl=18121503Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-02-19 09:56:492018-02-19 10:13:42Phishing ai danni di Carrefour Banca
Register.it, parte di Dada Company, è un noto provider Italiano che offre dal 1999 i suo servizi nel mercato Italiano. Come abbiamo già avuto modo di mostrare nei precedenti articoli stiamo rilevando, dall’ultimo trimestre del 2017, un notevole incremento di attività di Phishing ai danni di Web provider Europei.
Tutte le attività di Phishing si accomunano nella richiesta di credenziali (username, email e password) per ottenere l’accesso ai pannelli di amministrazione dei dominii web o alle webmail ed infine alla regolarizzazione di un falso problema di fatturazione tramite l’inserimento dei dati della propria carta di credito.
Register.it, come potete vedere nel grafico seguente, ha subito attacchi di Phishing di modesta entità nel 2015 e 2017 ma nei primi 45 giorni del 2018 abbiamo già rilevato otto segnalazioni, un trend decisamente in crescita che potrebbe vedere il 2018 concludersi con oltre sessanta attacchi.
Di seguito trovate una galleria di screenshot di un kit di Phishing sfruttato ai danni di Register, come anticipato inizialmente alla vittima viene richiesto di regolarizzare un problema di fatturazione tramite l’inserimento dei dati della propria carta di credito. Successivamente il phisher richiedere per ben due volte il codice OTP della vittima, ovvero il codice che l’utente riceve tramite SMS o visualizza nel proprio token fisico. Questo codice permette ai malviventi di eseguire addebiti sulla carta di credito della vittima.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2018/02/Phishing_Register_01.png?fit=1346%2C1004&ssl=110041346Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-02-16 11:28:302018-02-16 11:50:40Phishing ai danni di Register.it
Vasta rete di commercio illecito di Carte di Credito
Mercoledì 7 febbraio 2018 è emersa la notizia dell’avvenuta operazione internazionale di polizia denominata “Infraud“, operazione che ha portato alla scoperta di un grosso traffico illecito di carte di credito fruttando ingenti somme di denaro all’organizzazione criminale che da anni opera in questo specifico settore.
Le operazioni, come riportato da justice.gov, sono iniziate nel corso del 2010 e tra i soggetti sottoposti nei giorni scorsi agli arresti per aver preso parte attivamente all’organizzazione criminale, vi è un italiano conosciuto con lo pseudonimo di “Dannylogort“.
Si è ipotizzato, e indagini interne a D3Lab lo hanno confermato, che l’illecito abbia coinvolto anche carte di credito afferenti ad istituti bancari italiani.
La rete di commercio
Costo delle carte varia da un minimo di 80$ per 24 carte ad un massimo di 9500$ per 3670 carte
La rete di commercio mostrata in figura rappresenta solo una parte dei 977 domini individuati dal team di ricerca D3Lab, tutti ospitati sul medesimo server e registrati utilizzando 12 domini di primo livello, di cui:
75 domini .biz
13 domini .cc
1 domini .club
328 domini .com
6 domini .info
4 domini .me
16 domini .name
37 domini .net
13 domini .org
76 domini .ru
386 domini .su
22 domini .top
1 dominio .onion
L’operazione è stata denominata “Infraud” per via dello slogan “In Fraud We Trust” adottato dall’organizzazione criminale, ma indagini interne evidenziano un collegamento diretto tra il termine “infraud” e specifici forum registrati con nome dominio “infraud.*” orientati al mercato nero delle carte di credito.
Da analisi svolte nell’ambito del traffico illecito delle carte di credito, il team di ricerca D3Lab ha rilevato evidenze che documentano ancora oggi la presenza e, plausibilmente, l’attività online dei forum individuati, mentre il forum “libertyreserve.com” indicato dai media come covo dei criminali risulta attualmente sottoposto a sequestro.
Istituti italiani coinvolti
Ulteriori analisi hanno evidenziato tracce a partire dal 2011 e 2012 di compravendita di carte afferenti istituti bancari italiani. Al momento ne sono stati individuati 8 tra istituti bancari e finanziari:
Di seguito la lista degli Istituti interessati:
Unicredit banca roma bussiness
Omissis
Banca Nazionale del Lavoro
Deutche bank milan
Cartasi Spa
ICCREA Banca Spa
Banca Intesa Spa
Key Client Cards & Solution Spa
Come si evince dagli screenshot, ad occuparsi della compravendita di carte italiane era proprio il napoletano “Danny Logort” molto attivo su diversi forum di settore. In particolare, sono state rilevate conversazioni nei forum dedicati tra quest’ultimo e utenti stranieri interessati all’acquisto di carte italiane. Nella conversazione “Danny Logort” faceva da garante per conto di un fornitore esterno, e forniva come referenza il fatto che questi lavorasse presso un hotel cinque stelle italiano, lasciando così intendere che l’acquisizione delle carte “fresche” avvenisse direttamente nel luogo di lavoro.
Si presume, dall’analisi delle fonti consultate nel deep web, che l’acquisizione delle carte poste in commercio avvenisse tramite l’utilizzo di dispositivi elettronici meglio noti come “skimmer” e non da attività di phishing o di hacking volto alla compromissione di siti web di transazioni o commercio online.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2018/02/InFraudWeTrust.png?fit=800%2C460&ssl=1460800Margarethttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngMargaret2018-02-15 14:05:272018-02-15 14:21:43Infraud: evidenze del traffico di carte di credito Italiane
Uno dei servizi offerti da D3lab e’ quello di Brand Monitor, che effettua il monitoraggio giornaliero della registrazione di nuovi domini.
Si tratta, in molti casi, di nuovi domini con nomi molto simili a quelli dei siti legittimi con lo scopo di confondere, ad esempio, gli utenti di Home Banking per fargli credere di essere sul reale sito della banca ed mette in atto frodi.
I nomi di dominio comprendono in tutto o in parte il nome dell’ente da colpire spesso in unione ad altri termini leciti.
Oltre ai casi di banche italiane prese di mira dai phishers, e’ particolare notare il grande numero di nuovi domini ad-hoc rilevati giornalmente e che riguardano banche ma anche enti governativi francesi.
E’ probabile che una delle ragioni di questo interessamento dei phishers per la Francia sia dovuto alla grande diffusione in questa nazione di servizi internet tra cui l’Internet Banking.
Come si vede dal grafico, l’utilizzo nel 2017 di servizi Internet Banking in Francia e’ piu’ del doppio di quello italiano e di conseguenza anche il numero di potenziali utenti coinvolti in possibili attacchi di phishing risulta elevato.
In dettaglio possiamo vedere che nel mese di gennaio 2018 D3Lab ha rilevato numerosi nuovi domini ad-hoc relativi a diverse banche francesi tra cui
ma anche un grande numero di nuovi domini creati per colpire enti governativi tra cui
In ogni caso bisogna ricordare che per la maggior parte, non si tratta di phishing attivo ma di domini che se visualizzati nel browser mostrano messaggi di vario genere (dominio parcheggiato, sito in costruzione ecc….) in attesa di venire attivati in seguito dal phisher
ed anche
oppure
Nel momento in cui il clone viene poi attivato le pagine di phishing potrebbero essere inserite in directory accessibili solo attraverso il link di attacco presente nella email fraudolenta, mentre la home page del sito continuerebbe a presentarsi con il modello di default/parcheggio.
Una analisi del whois per i nuovi dom. FR rilevati, propone in buona parte nomi di registrant francesi
e spesso, un reverse whois, mostra che il registrant ha registrato piu’ di un nuovo dominio, sempre relativo a banche francesi
mentre sono utilizzati in molti casi anche i servizi di ‘privacy’ per nascondere i dati relativi al registrant.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2018/02/adhoc.png?fit=1102%2C737&ssl=17371102Edgardo D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngEdgardo D3Lab2018-02-14 10:24:022018-02-14 10:31:30Grande numero di domini di phishing Ad Hoc ai danni di banche ed enti Francesi
Dalla fine del 2017 ad oggi abbiamo rilevato un incremento notevole di tentativi di frode a danno di Amazon Italia attraverso l’invio di messaggi di posta elettronica fraudolenta.
Solo nell’ultima settimana di Dicembre D3Lab ha rilevato più di un centinaio di mail fraudolente.
Dai screenshot delle eMail sottostanti potete notare come la grafica e il contenuto delle eMail varia invitando la vittima ad effettuare il login per evitare la sospensione del proprio conto, per verificare l’accumulo di punti con la possibilità di vincere i biglietti per il Gran Premio di Monza o per una informativa sulla privacy.
Questo slideshow richiede JavaScript.
Il collegamento ipertestuale presente nella mail svolge funzione di redirect portando i visitatori su una pagina clone richiedente le credenziali di accesso al portale e successivamente in una nuova pagina richiedente i dati della carta di credito:
La procedura si completa indirizzando l’utente sulla pagina ufficiale di Amazon Italia.
Complessivamente l’utente è invitato a fornire al Phisher:
Nome e Cognome;
Account Amazon;
Numero di Telefono;
Codice Fiscale;
Carta di Credito (PAN, CV2 e Scadenza).
Analizzando l’attacco di Phishing del 31 Dicembre 2017, attualmente ancora attivo, abbiamo individuato la posizione in cui i Phisher memorizzando i numeri di telefono delle vittime e monitorando tale risorsa ad oggi sono presente 597 numeri di cellulare Italiani distinti.
Complessivamente un solo attacco di Phishing che sfrutta l’immagine di Amazon ha tratto in inganno 597 vittime.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2018/02/20180206145658.png?fit=688%2C624&ssl=1624688Jessica D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngJessica D3Lab2018-02-08 15:09:402019-05-09 16:46:07Nuova ondata di phishing via mail a danno di Amazon IT
Nel mese di Gennaio 2018 D3Lab ha già rilevato 25 nuovi attacchi di Phishing volti a colpire i clienti Deutsche Bank IT, una forte attività se confrontata ai 32 casi totali del 2017 o i 12 casi del 2016.
L’attività illecita avviene tramite mail dove il cliente viene invitato a confermare le proprie credenziali a causa di un’attività insolita; l’url proposto nella mail di phishing svolge una funzione di redirect portando il visitatore su una pagina fraudolenta differente da quella linkata nella mail.
Dai due screenshot sovrastanti si può notare come venga riportata la grafica e il logo del sito originale e la frode mira a carpire alle vittime le loro credenziali d’accesso sul portale.
L’analisi dei domini coinvolti ha permesso di individuare la presenza di Kit di Phishing ai danni di altri Istituti Bancari Italiani e ad oggi tutti i cloni rilevati risultano inattivi.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/02/screenshot-e1517836074208.png?fit=1021%2C371&ssl=13711021Jessica D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngJessica D3Lab2018-02-05 15:26:352018-02-16 08:31:53Phishing ai danni di Deutsche Bank IT
Potremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Cookie essenziali del sito Web
Questi cookie sono strettamente necessari per fornirti i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue funzionalità.
Poiché questi cookie sono strettamente necessari per la fruizione del sito web, non è possibile rifiutarli senza influire sul funzionamento del nostro sito. È possibile bloccarli o eliminarli modificando le impostazioni del browser e imporre il blocco di tutti i cookie su questo sito web.
Altri servizi esterni
Usiamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori di video esterni. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti consentiamo di bloccarli qui. Si prega di essere consapevoli del fatto che questo potrebbe ridurre pesantemente la funzionalità e l'aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
Virgilio Mail è la piattaforma di WebMail offerta gratuitamente da Italiaonline S.p.A. ampiamente sfruttata da diversi utenti Italiani, i primi attacchi di Phishing a loro danno li abbiamo rilevati nel 2017 come vi abbiamo mostrato lo scorso settembre. Nel primo trimestre del 2018 abbiamo rilevato un trend decisamente in crescita a conferma che Virgilio è un target apprezzato dai Phisher.
