L’attività di monitoraggio dei tentativi di frode informatica della tipologia phishing effettuata da D3Lab nel secondo quadrimestre 2012 ha permesso di rilevare, in panorama italiano, 487 differenti url di attacco contenute a vario modo in messaggi di posta elettronica di natura fraudolenta, finalizzati a carpire agli utenti di servizi on-line italiani le credenziali di accesso agli stessi e i dati per l’utilizzo di conti correnti on-line e delle carte di credito.

I 487 differenti url facevano capo a 392 differenti domini, numero che tuttavia nasconde una realtà ancor più drammatica essendo costituito da quei domini individuabili nei messaggi di posta, non evidenziando altresì il gran numero di domini coinvolti negli attacchi in qualità di meri raccoglitori di credenziali, basi per l’invio dei messaggi di posta, spazi di hosting per le immagini richiamate nelle pagine e mail fraudolente, domini nascosti da short url e redirect.

Il grafico sottostante mostra la distribuzione delle url individuate nei tentativi di frode agli utenti dei diversi enti/istituti

Il confronto di tali dati con quelli rilevati nel primo quadrimestre ed aggiornati con successivi rilievi

evidenzia come il phishing in ambito italiano si sia concentrato, a differenza degli scorsi hanni, prevalentemente sugli utenti di Carta Si e Poste Italiane.
(Nota: Il confronto con il quadrimestre precedente è in parte falsato dalla migliorata capacità di rilevamento ottenuta da D3Lab con lo sviluppo di propri strumenti di monitoraggio)

I restanti istituti, a differenza del 2010 e 2011, hanno potuto giovare di un calo di interesse da parte dei criminali, che non va tuttavia correlato con il subentrato utilizzo di strumenti OTP, infatti i tentativi di frode ai danni degli utenti di Unicredit Banca, Intesa San Paolo, Banca Sella, istituti che da tempo hanno dotato i loro clienti di token OTP, utilizzavano l’interfaccia di home banking dei rispettivi portali all’unico fine di realizzare la cornice grafica per i moduli con i quali vengono richiesti i dati delle carte di credito.

Sono stati sempre finalizzati al furto dei dati delle carte di credito anche i tentativi di frode a danno degli utenti di Telepass Spa e di Gioco Digitale.

In questo quadrimestre si è inoltre notato un netto calo nell’attività di uno dei gruppi criminali più agguerriti, per quanto non particolarmente skillato, che ha apparentemente diradato gli attacchi portati fino ad aprile attraverso il costante utilizzo di redirect e mirante a colpire istituti con piattaforme di home banking ancora legate alla password dispositiva, spostando la propria attenzione verso gli utilizzatori delle carte di credito Visa e Carta Si.

Relativamente alle modalità di attacco utilizzate, vi è una leggera flessione nell’utilizzo di form e redirect a fabore dell’utilizzo di link diretti alle pagine fraudolente.

Il monitoraggio svolto in ambito internazionale ha consentito di rilevare nella seconda metà di agosto lo spread di una campagna di attacco nei confronti del ramo francese del gruppo BNP Paribas

che nelle prime settimane di settembre è stato riproposto anche in versione italiana.

Sempre il monitoraggio in ambito internazionale ha palesato l’interesse dei criminali per tutti quegli enti/servizi presso i quali gli utenti possono o potrebbero pagare con carta di credito. Era stata sviluppata con tale orientamento la campagna di attacchi volta a colpire gli utenti dei servizi del gruppo energetico EDF (Électricité de France) ai quali veniva proposto l’addebito della bolletta su carta di credito.

Tale era anche l’orientamento delle già citate frodi ai danni degli utenti di Telepass e Gioco Digitale.

Nell’ultima settimana di Luglio vi sono state avvisaglie di un attacco agli utenti di Androind via mail.

Apparentemente l’attacco sembra essere stato veicolato attraverso la mailbox @yahoo.it del mittente, a cui ignoti hanno avuto accesso da un indirizzo ip ungherese

provvedendo all’invio della mail agli indirizzi collezionati tra i contatti.

Il link visualizzato con Chrome, simulando lo user agent di un dispositivo Android non portava al download di alcunché venendo rediretti ad altra pagina. Al contrario se si accedeva al link da un dispositivo Android si otteneva il download di un file apk. Il browser di default procedeva al semplice download, mentre Firefox per Android proponeva direttamente l’azione di installazione.

 L’immediata scansione con Avast Mobile ha evidenziato la natura della applicazioni scaricate

 confermata dall’analisi on-line con VirusTotal:

• update.apk Virustotal report
• freebonus.apk Virustotal report

Appare evidente che la frontiera dei dispositivi mobili rappresenterà la nuova sfida di phisher e distributori di malware.

Con l’intento di acquisire fraudolentemente codici di carte di credito il cyber crime rivolge la propria attenzione non solo verso gli istituti bancari e quegli enti che emettono proprie carte di credito, ma anche verso tutti quei servizi che prevedono pagamenti con esse.

In data odierna è stato rilevato in rete un attacco di phishing volto a colpire gli utenti del servizio Telepass.

Il messaggio di posta fraudolento, paventando la possibile sospensione del servizio Telepass, causa il mancato pagamento di una fattura, invita gli utenti a visitare pagine web posizionate nel dominio webtelepass.it

Domain:             webtelepass.it Status:             ok Created:            2012-06-02 05:16:44 Last Update:        2012-06-02 05:40:25 Expire Date:        2013-06-02

forgiato ad hoc con l’intento di trarre in inganno i visitatori.

Le pagine fraudolente richiedono ai visitatori, oltre ai dati della carta di credito, anche le credenziali di accesso alla mail box.