Il 2013 ha visto D3Lab impegnata ad allargare la propria azione di monitoraggio degli attacchi di phishing, sviluppando propri strumenti e procedure atti a migliorare le capacità di individuazione e le possibilità di analisi degli stessi.

Nell’arco dell’anno l’azienda ha potuto potenziare le proprie funzionalità ponendo la propria attenzione su un numero maggiore di target ed analizzando una quantità sempre crescente di casi di phishing.

Le informazioni così raccolte vengono ora pubblicate nelle ventidue pagine del Rapporto D3Lab 2013, documento riassuntivo dell’attività svolta lo scorso dall’azienda. 

 

Il documento, pensato per società ed aziende interessate ai servizi proposti da D3Lab e per il law enforcement nazionale, non è disponibile in download ma ne deve essere richiesto via mail aziendale scrivendo a [email protected].

 

indice dei contenuti

 

pagina 4

 

pagina 8

 

pagina 9

 

pagina 17

Come detto in precedenti post il 2014 ha presentato una recrudescenza degli attacchi di phishing, con i criminali intenti ad intensificare i tentativi di frode nei confronti di enti già colpiti, ma anche a designare nuovi target.

Il monitoraggio svolto in modo perpetuo ha permesso a D3Lab di rilevare un tentativo di phishing a danno dei clienti della Cassa di Risparmio di Chieti, che poggia il proprio home banking sulla piattaforma di CSE (Consorzio Servizi Interbancari).

La mail datata 11 Aprile, partita da un indirizzo IP francese e transitata su un server britannico, presenta le seguenti caratteristiche:

 

 

 

mittente apparente: Titolari

oggetto: mail@destinatario Estratto Conto

corpo del messaggio (in html):

——————————————————————————————————————————-

Gentile email,

Inforimiamo i nostri Titolari che l’estratto conto on-line dall mese
di Marzo e ora disponibile nell’ area riservata dal sito carichieti.it.
Ricordiamo ai nostri Titolari che ogni estratto conto rimane in linea fine
al terzo mese succesivo all’emissione.

Vedi estratto conto

Servizio Clienti Carichieti
4/11/2014 18:21:41
Questa e-mail e stata inviata all’indirizzio di posta elettronica da lei
indicato al momento dell’inscrizione al sito Carichieti.  

——————————————————————————————————————————-

con il collegamento ipertestuale che cela l’url di destinazione:

hxxp://carichieti.co.in/[email protected]/[email protected]%27

E’ opportuno notare che il phisher:

• ha registrato un dominio sfruttando il nome legittimo dell’ente, ma usando altra estensione nazionale (il dominio è intestato ad una persona romena);
• si è preoccupato di dare il giusto nome all’host in uso, in modo da legittimare maggiormente gli headers della mail;

 

La pagina fraudolenta, visualizzata dopo aver cliccato sul collegamento ipertestuale, riproduce fedelmente la pagina di login al portale di 

 

home banking CSE, presentando alcuni elementi, nella parte superiore destra, non presenti nella pagina legittima, verifiche più attente hanno permesso di rilevare come gli elementi indicati nell’immagine soprastante come in  eccesso, siano in realtà presenti anche sulla pagina del reale portale di home banking.  L’analisi del codice html evidenzia come in realtà si stia visionando una pagina con frame che trae la sua origina da pagine clone inserite in un sito Joomla compromesso.

 

Effettuata l’operazione di login con soli username e password la vittima viene rediretta a pagine legittime del sito dell’istituto bancario.

 

Bitcoin rappresenta una realtà e novità che ormai è impossibile ignorare. Per essa stanno nascendo nuovi servizi, quali sportelli ATM e sistemi di conservazione e movimentazione.

Coinbase è una recente startup creata per la conservazione e movimentazione dei Bitcoin, che sta attirando l’attenzione di importanti investitori, nonché acquisendo da altre importanti società manager capaci, evidentemente convinti delle nuove possibilità rappresentate da Bitcoin.

Così, come c’era da aspettarsi, anche i criminali rivolgono la loro attenzione verso il nuovo bacino di utenti al cui capitale di bitcoin sperano di accedere rubandone, attraverso tentativi di phishing, le credenziali di accesso agli account dei servizi appositamente creati.

 

Nella giornata odierna D3Lab ha rilevato, su un server olandese, pagine di phishing volte a colpire gli utenti Coinbase.

 

I circuiti di moneta elettronica Liberty Reserve, Payza e Skrill non sono (o erano parlando del sequestrato Liberty Reserve) nuovi al phishing, sebbene i tentativi di frode siano in realtà limitati. Ora l’attenzione dei criminali avrà quale valvola di sfogo anche i bitcoin.

Cogliendo l’occasione della stesura del “Rapporto D3Lab 2013” sono state effettuate valutazioni statistiche sull’andamento degli attacchi di phishing rilevati da D3Lab.

E’ doveroso sottolineare che conteggiare gli attacchi di phishing non è semplice per svariati motivi:

• l’invio delle mail di attacco viene ritardato dal web server su cui i phisher hanno caricato lo script di invio delle mail e le stesse arrivano su più giorni;
• le pagine clone non sono state eliminate e risultano essere riutilizzate a giorni o settimane di distanza;
• la stessa pagina fraudolenta, in particolare per i file php che gestiscono le credenziali inviate dagli allegati alle mail, è usata per più mesi consecutivamente; 
• attraverso l’uso di script per la creazione delle mail e della gestione di fake subdomain, attraverso htaccess o alla violazione dei pannelli di gestione dns, i phisher creano innumerevoli url unici puntanti alla medesima risorsa,
• l’uso di redirect aggiornati e short url in sequenza permette al phisher di usare svariati cloni aggiornando un unico redirect;
• ecc…

Ci si può quindi rendere conto quale sia la difficoltà di eseguire un monitoraggio su un insieme di informazioni …fluido.

D3Lab ha optato per il conteggio degli url unici di attacco:

• il medesimo url, anche riutilizzato per più giorni, o a distanza di giorni, viene conteggiato una sola volta;
• url diversi, generati inglobando, l’indirizzo mail del destinatario, ma puntanti alla medesima risorsa sono conteggiati una sola volta;
• url con fake subdomain sono conteggiati individualmente.

D3Lab non ha la pretesa di aver individuato il miglior sistema di conteggio di tale tipologia di incidente, tuttavia utilizzando stabilmente il medesimo metro di valutazione si riesce a ottenere un’indicazione attendibile dell’andamento dell’attività criminale.

Lo sviluppo ed il miglioramento di strumenti e procedure ad hoc ha permesso a D3Lab, nell’anno 2013, di vagliare oltre 15.000 messaggi di posta elettronica e 500.000 segnalazioni derivanti dai data base on-line.

 

 In tal modo D3Lab è riuscita nell’anno 2013 ad esaminare oltre 4200 casi, con un incremento rispetto al primo quadrimestre 2012 di oltre il 600 %. L’incremento dei casi monitorati non è dovuto unicamente alle migliorate capacità ed al solo incremento  del fenomeno criminale in panorama Italiano, ma anche all’attenzione riposta dal settembre 2013 nei confronti di enti stranieri, nei cui confronti D3Lab ha cominciato ad attuare un attento monitoraggio con conseguente analisi e ricerca.

La tabella nel seguito riportata rappresenta l’andamento degli attacchi di phishing rilevato a danno dei vari enti. I dati numerici sono quelli pubblicati nel gennaio 2013 (Phishing: chiusura 2012 e previsioni 2013) e relativi ai casi rilevati nell’anno 2012. Sulla base degli stessi si è deciso di dare solo un indicazione dell’andamento per i periodi a seguire, senza riportare valutazioni numeriche che potrebbero essere fuorvianti dal momento che in parte il lievitare del numero di url fraudolenti rilevati a danno di specifici enti può certamente essere dovuto ad un incremento delle capacità di monitoraggio ed identificazione degli attacchi da parte di D3Lab.

 

La freccia verso il basso ↘ indica ovviamente un calo degli attacchi, mentre quella verso l’alto ↗  indica un aumento. Si è cercato di dare risalto all’andamento di quanto rilevato con l’uso di colori, dove lo sfondo delle celle di colore:

• verde indica 0 attacchi;
• grigio indica stabilità;
• azzurro  indica miglioramento;
• rosso indica peggioramento.

La colonna relativa all’anno in corso (2014) prende in considerazione questo primo trimestre. In tal caso il colore rosso indica la presenza di attacchi. Non si è voluto fare una valutazione statistica su base trimestrale, preferendo lasciare alla freccia verso l’alto  ↗ il compito di evidenziare quei casi nei quali i rilievi hanno già portato all’identificazione di url malevoli in numero superiore a quelli rilevati l’anno precedente.

Si può notare come per alcuni enti siano stati individuati attacchi sporadici destinati a non ripetersi nei periodi seguenti e come, in altri casi, enti precedentemente non colpiti dal fenomeno, o con un calo di attenzione da parte dei criminali, siano tornati invece a rappresentare un target in questi primi 90 giorni del 2014.

Va notato il ripetersi di attacchi ad enti non bancari, quali le maggiori compagnie di telecomunicazione, i portali di prenotazioni alberghiere Venere ed Expedia  e di giochi e scommesse on-line SNAI ed Eurobet.it. 

Nel 2013 si è confermato il calo di interesse verso l’home banking a favore delle carte di credito, con un incremento di attacchi a danno di Visa e Lottomatica, a fronte di un calo di quelli a danno di Carta Sì, per la quale tuttavia si è rilevata una forte inversione di tendenza nel trimestre in corso, come sta avvenendo anche per gli utenti delle carte emesse da Banche di Credito Cooperativo. 

Con la fine del 2013 si è presentato sul panorama italiano l’attacco portato a mezzo SMS. Di pe se questo non rappresenta una novità, nulla di innovativo, tuttavia, operando sul phishing dal 2009 D3Lab non lo aveva mai rilevato. Nel caso specifico gli attacchi sono stati mirati a colpire i clienti della catena di grande distribuzione Carrefour (Continua il phishing Carrefour via SMS), ripetendosi nel 2014 anche a danno di Poste Italiane. L’analisi di tale tipologia di attacchi è stata per D3Lab lo spunto di riflessione che ha portato a rilasciare, il 13 Gennaio, scorso il “Phishing via SMS report“.

Il monitoraggio a livello internazionale si è focalizzato, dal primo Settembre 2013, principalmente su enti europei, evidenziando un forte interesse dei criminali dediti al phishing per gli utenti di lingua tedesca

con diversi enti tedeschi ed austriaci nel mirino dei criminali, con le tedesche Sparkasse e Post Bank che nell’arco del terzo quadrimestre in esame hanno surclassato in termini di url malevoli a loro danno quasi tutti gli enti italiani.

Gli utenti del web di lingua francese hanno cominciato ad essere fortemente colpiti dal phishing nel secondo semestre 2012, quando iniziò una consistente campagna di attacchi a danno degli utenti di Carrefour Banque (Phishing Carrefour Banque), poi cessata nelle prime settimane del 2013, e di EDF fornitore di energia elettrica francese, ai cui utenti veniva proposto dai criminali l’addebito della bolletta su carta di credito.

 

Nel 2013 si è assistito ad un allargarsi del numero di enti colpiti, con attacchi all’ente deputato all’erogazione degli assegni famigliari (Caisse Nationale des Allocations Familiales), alla Banque Postale e all’operatore di telefonia mobile SFR.

Gli utenti britannici non sfuggono all’attenzione dei phisher, con attacchi mirati principalmente agli accounts customer degli operatori di telefonia mobile ed a Tesco Bank (Tesco Bank phishing)

 

A livello extra europeo si è rilevato oltre ad elavato phishing per quei provider di servizi internazionali quali PayPal, FedEx, Western Union, Google, Yahoo, Facebook, Twitter, ecc..,  anche un elevatissimo numero di attacchi ai clienti/utenti di enti sud americani, con la novità di sporadici attacchi mirati a istituti bancari per utenti di lingua araba ed ad una crescente campagna di phishing volta a colpire utenti asiatici. In tale contesto i rilievi D3Lab hanno evidenziato un elevato interesse dei criminali verso gli utenti di istituti bancari indiani, con phishing “multimarca”,  e malesi con ripetuti attacchi da parte delle medesime entità criminali a Hon Leong Bank, MayBank2u ed RHB Now.

 

L’analisi dei dati raccolti nel terzo quadrimestre 2013 ha evidenziato un preoccupante interesse dei criminali verso i clienti degli operatori delle telecomunicazioni.

 

Nel panorama italiano la semplice analisi del grafico sopra riportato sembrerebbe evidenziare un andamento assolutamente preoccupante a causa del picco di url malevoli rilevato nel mese di dicembre. In realtà ciò fu dovuto alla compromissione di un unico host di un provider francese, che permise ai phisher di inserire nello spazio web dei molti domini ivi presenti innumerevoli cloni a danno dei principali operatori di telefonia mobile italiani e di SNAI. Data la dimensione delle campagna di phishing, ad opera del medesimo gruppo, che ne conseguì è abbastanza probabile che il provider abbia ricevuto segnalazioni di quanto stava accadendo. Ciononostante i criminali ebbero la possibilità di mantenere i propri cloni sull’host compromesso per quasi un mese. 

A livello europeo l’interesse dei criminali per i criminali dei provider di telecomunicazioni fu confermato dai dati raccolti. Risulto tuttavia esservi una grande differenza tra il phishing volto a colpire gli utenti delle società britanniche e gli altri. Mentre nel resto d’Europa i criminali richiedevano alle vittime direttamente i dati delle carte di credito, in UK (e per quanto riguardala sola T-Mobile anche in Germania ed Ungheria) venivano richiesti solo i dati di accesso all’account cliente.

 

Il recupero di kit di phishing, avvenuto in un buon numero di casi, ha evidenziato, unitamente all’identificazione di differenti modalità operative, come non vi sia apparente commistione e comunione di risorse tra le entità criminali impegnate a frodare gli utenti dei diversi paesi. 

Venendo alle modalità attuative si è notato un sempre pesante coinvolgimento dei siti web basati su Joomla e WordPress, probabilmente dovuto alla loro diffusione. I criminali accedono allo spazio web altrui non solo attraverso vulnerabilità dei CMS in uso, ma anche conquistando le credenziali dei pannelli di gestione dei domini.

Nell’arco dell’anno 2013 la maggior parte degli attacchi è stata portata attraverso link diretti e allegati alle mail. Con la fine dell’anno si è denotata una tendenza in aumento, confermatasi nel trimestre corrente, dell’uso di allegati con tag IFRAME, i cui url sorgenti sono spesso mascherati con l’uso di short url e redirect.

L’invio delle credenziali avviene sempre attraverso la gestione dei dati inviati dal form ad un file php che:

• nella maggioranza dei casi le invia ad un indirizzo mail;
• le scrive su file di testo, prassi apparentemente in calo;
• le scrive su data base remoti, casistica legata alla tedesca Post Bank;
• le invia via curl ad altro host.

I criminali in un numero crescente di casi fanno uso dell’indirizzo email del destinatario inserendolo nell’url proposto nella mail e di fake subdomain gestiti attraverso i pannelli gestione dominio o attraverso file htaccess.

 

Conclusioni: il phishing, per quanto considerato dai più una minaccia poco meritevole di attenzioni, miete ancora un elevato numero di vittime. La diffusione di tablet e smartphone, spesso in mano a utenti con una bassa competenza informatica, ha molto ampliato il bacino di pesca dei phisher.
Di contro l’assenza di una normativa internazionale e di una collaborazione tra le forze inquirenti dei vari paesi, così come avviene invece a contrasto delle pedofilia, lascia campo aperto ai criminali che, adottando precauzioni minimali, riescono a sortire effetti devastanti operando con basso livello di rischio. 
In tale ottica il dotarsi di un servizio di monitoraggio e contrasto al phishing, come quello erogato da D3Lab, può essere per le aziende una valido strumento di tutela della propria immagine e dei propri clienti.

D3Lab persegue attraverso questo blog l’obbiettivo di fare informazione ed allertare gli utenti sulle minacce rilevate in tema di phishing. Non vengono riportati tutti gli attacchi individuati, ma unicamente quelli che si presentano quali novità, verificandosi a grande distanza di tempo dai precedenti, o perché introducono elementi innovativi, quali nuovi temi grafici o diverse metodiche di attacco.

Chiunque voglia supportare l’azione di ricerca di D3Lab può farlo inoltrando il phishing ricevuto o allegando i sorgenti delle mail fraudolente all’indirizzo di posta elettronica [email protected].