Carola

English version

Operando giornalmente nell’ambito dell’attività OSINT ci scontriamo spesso con la difficoltà di far comprendere ai possibili clienti quali possono essere potenzialità e utilità di questo tipo di attività.
Un altro problema è far comprendere al cliente quali possono essere le difficoltà e i limiti di questa tipologia di attività, laddove anni di serie televisive ci hanno abituato a vedere gli operatori geek di CSI, NCIS, ecc..  recuperare qualsiasi informazione su una persona con un solo click.

Ci si potrebbe infatti trovare in due situazioni estreme: nella prima il target è troppo attivo nell’ambito web, gli analisti si troveranno quindi sommersi da un eccesso di informazioni in cui è complesso individuare quelle di reale utilità; nella seconda il target è un soggetto particolarmente attento alla propria privacy e gli analisti si troveranno nella condizione di non riuscire a individuare in rete informazioni di alcun tipo.

In tale contesto Carola Rackete, comandante della Sea-Watch 3, ha rappresentato un interessante case history: sui media è stato riportato dell’impossibilità di trovare riscontri al curriculum dalla stessa pubblicato su LinkedIn(1), nonché della sua presunta assenza dal panorama digitale, non avendo lei alcun profilo social (LinkedIn a parte).

E’ stata quindi svolta una simulazione al fine di verificare i risultati delle attività di ricerca ed analisi che potessero identificare Carola partendo dalle varie informazioni pubblicamente reperibili.

Premessa: ogni informazione, documento, immagine presente in questo articolo è individuabile on-line e consultabile da chiunque in base alle impostazioni di condivisione e privacy settate dai rispettivi proprietari/titolari. Continua a leggere

Sei stato uno dei dieci fortunati vincitori di un Samsung Galaxy S10 spedito da Poste Italiane a soli 1,95euro? Bhe sappi che è una operazione di scam e con buona probabilità non riceverai alcun regalo!

Lo scam è un tentativo di truffa pianificata con metodi di ingegneria sociale. In genere avviene inviando una e-mail nella quale si promettono grossi guadagni in cambio di somme di denaro da anticipare. Spesso scam e spam sono strettamente correlati. Lo scam può riferirsi anche a un tentativo di furto di dati informatici sensibili, come password da parte di malintenzionati, al fine di sottrarre o trasferire indebitamente somme di denaro da conti on line. {Wikipedia}

Il sito internet creato Ad Hoc per veicolare questa campagna di scam mostra in home page la dicitura “Congratulationi! Sei uno dei 10 fortunati utenti che abbiamo selezionato per avere l’opportunità di vincere un Samsung Galaxy S10.” e in aggiunta è presente una sezione di commenti di altri utenti che confermano di aver ricevuto il telefono proprio nei giorni antecedenti.

Continua a leggere

Phishing ai danni della Banca Popolare di Sondrio

Da martedì 9 Aprile è in corso una importante campagna di Phishing ai danni della Banca Popolare di Sondrio, data l’importante mole di eMail rilevate nei confronti di questo istituto mercoledì abbiamo dato risalto dell’attività tramite i profili ufficiali di D3Lab nei Social Network.

Ad oggi la campagna di Phishing sta proseguendo con l’invio di un massiccio numero di eMail. Il messaggio inviato alla probabile vittima è molto semplice: lo avvisa che la password del proprio Home Banking è scaduta e lo invita ad accedere al sito per completare il login.

Continua a leggere

Italian version here.

In last days D3Lab identified a malspam campaign which simulate a communication about invoices and payments to spread malware with the aim to steal sensitive data from Ms Windows devices.

The malware is downloaded, from a probably compromised domain, and executed by a Microsoft Exel macro attached to the mail, clearly these actions require a users interaction.

The malware uses SMTP protocol to send stolen credentials towards command and control servers identified by domain names made ad-hoc for this malspam campaign. This escamotage allows to escape superficial network traffic control using believable domain names capable to deceive network controller operators, letting the malware talking with C&C servers.

Since Aprile the 1st we identified eleven malware versions . The difference is in the SMTP server used to send stolen credentials and we suppose each file has been made to hit different countries.

Continua a leggere

English version here

Questa settimana si sta svolgendo una campagna di malspam mediante falsa comunicazione di avvenuto pagamento di una fattura, il malware viene veicolato attraverso un file Microsoft Excel contenete una macro malevola che ha il compito di scaricare ed eseguire il binario malevolo.

Le credenziali carpite vengono inviate mediante il protocollo SMTP ed inoltre vengono sfruttati dominii creati Ad Hoc per le comunicazioni.

Questa tecnica permette di eludere superficiali controlli del traffico di rete, un operatore potrebbe non distinguere alcuna differenza tra il dominio ufficiale di un ente e quello creato Ad Hoc così da non bloccare il traffico in uscita generato dal malware.

Dal primo aprile ad oggi abbiamo identificato undici varianti del malware, si differenziano tra loro per il server SMTP sfruttato per l’invio delle informazioni sensibili carpite alla vittima e probabilmente ogni file ha un target nazionale prestabilito dai criminali.

Continua a leggere

Blackmail emails are storming internet users since last october, when the phenomenon started and acquired space in all information media.

The biggest power of this kind of attack is to fool the receiver leading him to believe that the message came from it’s own email box, that it’s been compromised.

In the first time emails body was composed in simple text.

Continua a leggere

Yesterday we received a phishing email targeting Apple Store users.

The email, writed in english, hasked for a payment for a movie pre-order. The email body’s html was hidding a phishing url under “Review and cancel here”.

Continua a leggere

inserimento dati anagrafici

Lo scorso anno vi avevamo raccontato del phishing a danno di Carrefour Banca rilevato tra gennaio e febbraio, ieri a circa un anno di distanza i criminali tornano a colpire gli utilizzatori delle carte Carrefour.

L’analisi del caso trae spunto da un tweet di @illegalFawn ricercatore sempre attento a questa tipologia di minacce

tweet illegalFawn

Rispetto ai casi di phishing rilevato lo scorso anno la grafica risulta meno curata e il kit sfrutta il sistema delle sub directory con nomi random, create per ogni nuova visita.

Continua a leggere

Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.

L’eMail inviata che potete vedere nello screenshot di apertura e testualmente di seguito è correttamente scritta in Italiano e probabilmente copiata da una legittima comunicazione di Vodafone, ma in questo caso è presente un allegato compresso (in formato rar) che contiene un file Visual Basic Script.

Continua a leggere

Google & Office 365 phishing business victims

Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…

Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.

Possiamo quindi esaminare due scenari.

Continua a leggere