Negli scorsi giorni l’attività di Brand Monitor svolta dal team di analisti D3Lab al fine di identificare domini sospetti utilizzabili per attività fraudolente ha portato all’identificazione del dominio acquistaregreenpass[.]com
Il dominio risulta essere stato registrato il 23 ottobre scorso facendo uso di servizi di privacy whois, rendendo di fatto impossibile addivenire ad informazioni relative al registrante.
Continua a leggere
Uno dei servizi offerti da D3lab e’ quello di Brand Monitor, che effettua il monitoraggio giornaliero della registrazione di nuovi domini.
Si tratta, in molti casi, di nuovi domini con nomi molto simili a quelli dei siti legittimi con lo scopo di confondere, ad esempio, gli utenti di Home Banking per fargli credere di essere sul reale sito della banca ed mette in atto frodi.
I nomi di dominio comprendono in tutto o in parte il nome dell’ente da colpire spesso in unione ad altri termini leciti.
Oltre ai casi di banche italiane prese di mira dai phishers, e’ particolare notare il grande numero di nuovi domini ad-hoc rilevati giornalmente e che riguardano banche ma anche enti governativi francesi.
E’ probabile che una delle ragioni di questo interessamento dei phishers per la Francia sia dovuto alla grande diffusione in questa nazione di servizi internet tra cui l’Internet Banking.
Come si vede dal grafico, l’utilizzo nel 2017 di servizi Internet Banking in Francia e’ piu’ del doppio di quello italiano e di conseguenza anche il numero di potenziali utenti coinvolti in possibili attacchi di phishing risulta elevato.
In dettaglio possiamo vedere che nel mese di gennaio 2018 D3Lab ha rilevato numerosi nuovi domini ad-hoc relativi a diverse banche francesi tra cui
ma anche un grande numero di nuovi domini creati per colpire enti governativi tra cui
In ogni caso bisogna ricordare che per la maggior parte, non si tratta di phishing attivo ma di domini che se visualizzati nel browser mostrano messaggi di vario genere (dominio parcheggiato, sito in costruzione ecc….) in attesa di venire attivati in seguito dal phisher
ed anche
oppure
Nel momento in cui il clone viene poi attivato le pagine di phishing potrebbero essere inserite in directory accessibili solo attraverso il link di attacco presente nella email fraudolenta, mentre la home page del sito continuerebbe a presentarsi con il modello di default/parcheggio.
Una analisi del whois per i nuovi dom. FR rilevati, propone in buona parte nomi di registrant francesi
e spesso, un reverse whois, mostra che il registrant ha registrato piu’ di un nuovo dominio, sempre relativo a banche francesi
mentre sono utilizzati in molti casi anche i servizi di ‘privacy’ per nascondere i dati relativi al registrant.
