Campagna di Phishing ai danni di Iliad

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di diverse campagne di phishing ai danni di Iliad.

Iliad Italia è un operatore di telecomunicazioni Italiano e parte dell’omonimo gruppo francese Iliad o più conosciuto come Free Mobile, attualmente con oltre 10 milioni di clienti in Italia.

L’importante campagna di phishing è stata diffusa mediante 20 domini creati Ad Hoc che eseguivano un redirect dell’utente verso due siti web probabilmente compromessi.

L’intento dei criminali è quello di carpire i dati delle Carte di Credito o di Debito dei clienti falsificando la consueta pagina di ricaria della propria numerazione telefonica.

Analizzando il kit di phishing è stato possibile identificare il metodo utilizzato dai criminali per raccogliere le informazioni sensibili carpite, i dati immessi dai clienti vengono infatti inviati ai phisher mediante Telegram. Di seguito un estratto del file JSON di configurazione del kit di phishing lasciato involontariamente esposto:

Analizzando i Token Telegram sfruttati dai criminali mediante lo strumento OSINT tosint è possibile comprendere che i dati vengono inviati su un gruppo creato Ad Hoc con al momento 5 utenti attivi:

Bot First Name: iliadmybot
Bot Username: iliadmybot
Bot User ID: 6581XXXXXX
Bot Can Read Group Messages: False
Bot In The Chat Is An: member
Chat Title: Mister Отстук Италия
Chat Type: group
Chat ID: -40380XXXXX
Chat Username: None
Chat Invite Link: None
Number of users in the chat: 5
Administrators in the chat:
{'id': 8300XXXXX, 'is_bot': False, 'last_name': 'X', 'first_name': 'Mister', 'language_code': 'ru', 'username': 'MucXXX'}

Il tag Chat Title “Mister Отстук Италия” ci permette di ipotizzare l’origine Russa di questi criminali, a confermare tale ipotesi rileviamo inoltre che l’amministratore del gruppo “Mister X” utilizza Telegram in lingua Russa.

Invitiamo gli utenti a prestare attenzione e a non divulgare le proprie informazioni sensibili (username, password, e-mail, etc).

IoC

  • 2iliad[.]top
  • 3iliad[.]top
  • 1iliad[.]top
  • ricariliad[.]top
  • iliadric[.]top
  • ricarliad[.]top
  • iliadriac[.]top
  • iliadtops[.]top
  • iliadtopup[.]top
  • iliadricarica[.]top
  • iliadit[.]top
  • iliadup[.]top
  • iliad-it[.]top
  • iliadtop[.]top
  • ricoiliad[.]top
  • itiliad[.]top
  • it-iliad[.]top
  • iliadsup[.]top
  • ricaricaa[.]top
  • iliad-up[.]top
/da
Potrebbero interessarti
Phishing ai danni di Casa.it
Phishing ai danni di Alitalia – Finto rimborso di 80euro
first page in tesav/ directoryTesco Bank phishing
Phishing Banca Popolare di Sondrio
pannello di gestione credenziali rubatePhishing: uso dell’OTP in real time a danno dei clienti Poste
Telegram: Server eMail autentico sfruttato per inviare Phishing
Aruba, OVH, FastWeb, Keliweb e altri Provider coinvolti dal Phishing!
Phishing ai danni della Banca Popolare di Sondrio