In un momento tanto difficile per l’economia delle famiglie, attanagliate dal caro vita, dalle scadenze fiscali e dall’assenza di lavoro, i cyber criminali, dimostrandosi soggetti ad un livello sempre più abbietto, decidono di lucrare colpendo fasce sempre più ampie di popolazione con false offerte relative alla spesa di tutti i giorni.

D3Lab ha appena rilevato il nuovo tentativo di frode, ad opera di coloro che già si sono resi autori del phishing contro Agip/Eni e Carrefour. La mail fraudolenta, riportata nell’immagine sottostante, presenta le seguenti caratteristiche

 

 

Mittente visualizzato: “Ritira 50 euro in buoni supermercato” <[email protected]>

Oggetto: Richiedi il buono sconto di 50 euro a 5 euro !

Testo del messaggio:

————————————————————-

PAGANDO SOLO 5€,AVRAI DIRITTO A: – 50 EURO DA SPENDERE NEL SUPERMERCATO PIÙ VICINO A TE. VERRA’ RECAPITATO AL TUO INDIRIZZO DA UTILIZZARE PRESSO I SUPERMERCATI : AUCHAN – LD – LIDL – COOP – CONAD . CARREFOUR – DESPAR – IPER. SU UNA SPESA MINIMA DI 100 EURO NON CUMULABILI. http://www.buonisconti.tv/ Servizio offerto da: Europublic Srl Via Campo Rotondo n.14 00132 Roma RM P.Iva 01584760431 REA RM12998/57

————————————————————

La mail è partita da una rete locale, presumibilmente aziendale dato il range di indirizzi IP rilevabile dagli headers, per transitare su un server di posta britannico nelle prime ore della notte appena trascorsa.

Il link proposto porta effettivamente all’unica pagina del dominio buonisconti.tv, dove un frame trae la sua sorgente dall’url

http://www.buonsconto.com/Persolo5euro.html

Entrambi i domini sono di recentissima registrazione

 

 

 

la pagina web fraudolenta, riprodotta nell’immagine sottostante, propone al costo di soli 5 Euro l’adesione ad un offerta per la 

 

 

ricezione di un buono sconto da 50 Euro spendibile presso i supermercati Auchan, Carrefour, LD Market, Lidl, Despar, Coop, Conad e Iper. Cliccando sul pulsante procedi si viene portati ad una seconda pagina in cui vengono richiesti dati anagrafici

 

compilata la quale si prosegue verso la richiesta di dati della carta di credito e, nelle pagine successive dei relativi codici di verifica

 

 

I criminali hanno cercato di nascondere il proprio operato inserendo su buonosconto.com pagine di un sito di e-commerce fasullo, basta fare riferimento ai recapiti di contatto per rendersi conto della natura posticcia del sito, atta unicamente a trarre in inganno chi dovesse svolgere accertamenti superficiali.

Che gli autori di tale frode siano i medesimi che hanno colpito Agip/Eni e Carrefour Italia, lo si desume dal template delle pagine in cui vengono richiesti e verificati i dati anagrafici e quelli di carta di credito, dal modus operandi facente uso di domini registrati presso No-Ip e di frame, nonché dalle strutture dei siti fraudolenti, rilevabili dall’esame dei codici html. Se infatti osserviamo il link nascosto dal pulsante “Procedi” posto nella prima pagina rileviamo l’url seguente:

http://www.buonsconto.com/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php

possiamo in esso notare la presenza delle stringhe travel.eni.com, iveportal, W155.PKG_RICONLINE.show_pageNL22.php

Abbiamo a che fare con criminali pigri, che pur di non riscrivere i collegamenti, i link, mantengono nomi di directory non attinenti alla frode stessa. 

Quanto accaduto nell’anno in corso dimostra come il phishing non sia una minaccia rivolta solo ai conti correnti ed agli istituti di credito. Con un minimo di fantasia i criminali possono riproporre attacchi di phishing motivandoli con offerte di spesa, carburante, rimborsi fiscali, pagamenti tasse e quant’altro una mente dalla fantasia vivace può inventarsi.

Nel caso specifico quale degli enti coinvolti (le diverse catene di iper e super mercati) sarà intenzionata ad intervenire attivando la propria struttura a contrasto della frode. Nessuna di esse trae un danno economico diretto e se vogliamo anche quello di immagine può considerarsi spalmabile tra tutti i diversi marchi. Questa tipologia di phishing rischia di mostrarsi efficace e duratura se le parti coinvolte non si riterranno tali ed eviteranno azioni dirette a contrasto del fenomeno.

Inevitabilmente, dopo Vodafone, Tim e Wind, è arrivato (o meglio tornato) anche il phishing a danno degli utenti H3G.

La mail fraudolenta, rilevata nel primo pomeriggio odierno, partita da un indirizzo ip britannico e giunta in più copie

 

 

 

ai medesimi indirizzi di posta transitando da server di posta canadesi, russi o brasiliani, presenta le seguenti caratteristiche:

Mittente visualizzato: 3 Italia <[email protected]>

Mittente visualizzato: 3 Italia <[email protected]>

Mittente visualizzato: 3 Italia <[email protected]>

Mittente visualizzato: “3 Italia” <[email protected]>

Mittente visualizzato: “3 Italia” <[email protected]>

Mittente visualizzato: “3 Italia” <[email protected]>

Oggetto: Offerta estiva da 3 Italia!

Oggetto: Offerta estiva da 3 telefonia mobile!

Testo del messaggio (codificato in base64):

———————————————————————————————————–

Solo da 3 Italia, la nuova offerta estiva: 1 = 2!
Basta seguire il link qui sotto, ricaricare il cellulare con
i 5 a 30 euro e si ha la garanzia di ricevere un bonus del 100%.

Ricarica ora!

Copyright © 3 – 2010 | H3G S.p.a. – P.IVA n. 13378520152

———————————————————————————————————–

 

Cliccando il link proposto dalla mail fraudolenta si viene portati su pagine web fraudolente inserite in un server web statunitense,

 

 

identificato dal solo indirizzo ip, su cui non risultano essere attivi domini. La prima pagina fraudolenta, riprendendo la truffa del bonus di pari valore della ricarica effettuata, richiede il numero di telefono da ricaricare ed i dati della carta di credito. La pagina successiva richiede il secure code di Visa/Mastercard, notare che non viene riportata la frase di sicurezza

 

 

che ogni utente dovrebbe aver scelto impostando il secure code e che dovrebbe essere riproposta all’atto della verifica, confermando la legittimità della richiesta dei dati della carta di credito. Consegnato anche l’ultimo codice ai criminali si viene riportati su pagine del legittimo sito web H3G.

Alcune caratteristiche attuative lasciano ipotizzare si tratti dei medesimi autori delle recenti frodi Agos Ducato.

 

jhu

Continua il tentativo dei criminali di spillare soldi agli utenti più ingenui della rete attraverso la falsa intimazione da parte di organi di polizia a pagare una sanzione a seguito di presunte attività criminali perpetrate attraverso l’uso del proprio pc.

Pagine web con i loghi di Europol ed FBI

 

 

 

 

indicano che tutta l’attività del pc viene registrata e che tutti i file sono stati criptati a seguito di possibili azioni illecite svolte al computer:

---

 

ATTENTION!
All your files are encrypted to prevent their distribution and use.
Due to violations of the law, your browser has been blocked
because of at least one of the reasons below.

1. You have been subjected to violation of Copyright and Related Rights Law and illegally using or distributing copyrighted contents such as Video, Music or\and Software (files were found in your browser’s temporary files and your documents), thus conflicting with Article 1, Section 8, Clause 8 of the Criminal Code of the Great Britain.
   Article 1, Section 8, Cause 8 of the Criminal Code states a fine or two hundred minimal wages or a deprivation of liberty of two to eight years.
2. You have been viewing or distributing prohibited Pornographic contents: Child Porno photos and such, were found in browser’s temporary files and your documents.
   Thus, you are violating article 202 of the Criminal Code of the Great Britain. Article 202 of the Criminal Code states a deprivation of liberty of four to twelve years.
3. Illegal access has been initiated from your PC without your knowledge or consent, your PC may be infected with malware, thus you are violating the law of Neglectful Use of your Personal Computer. Article 210 of the Criminal Code declares a fine of up to £50,000 and/or deprivation of liberty of four to nine years.
   Pursuant to the amendment of the Criminal Code of the Great Britain of May 28, 2011, this law infringement (if it is a first time offence) may be considered as conditional in case you pay the fine.

---

 

Naturalmente gli autori della frode propongono una possibile soluzione anche a fronte di reati tanto gravi come la detenzione di materiale pedo pornografico citata al punto 2

---

 

To unlock your computer and to avoid other legal consequences, you are obliged to pay a release fee of £200. Payable through Ukash (you must purchase the Ukash card and enter the code). You can buy the card at any store or gas station, payzone or epay terminal location.

Find the nearest epay or payzone location.
Go to any location with a PayPoint or Payzone terminal.
Ask for Ukash: 200.00GBP

Please note: Fines can only be paid within 12 hours. As soon as 12 hours expire, the possibility to pay the fine is lost forever. All your PC data will be detained and criminal’s procedure will be initiated against you if the fine will not be paid!

---

 

Basta pagare 200 sterline attraverso il circuito di moneta elettronica Ukash!

Per semplificare la vita a chi teme di essere un reo i veri criminali forniscono le indicazioni per l’acquisto di carte Ukash

inserito un qualsiasi codice numerico di 19 cifre, tale è la lunghezza dei codici Ukash si ottiene la promessa dello sblocco/dissequestro del computer in 12 ore!

 

All’apertura delle pagine sopra mostrate la barra del browser mostrerà la dicitura “YOUR BROWSER HAS BEEN LOCKED” e i più ingenui potrebbero spaventarsi nel momento incui cercando di chiudere la pagina otterranno un minaccioso pop-up

indicante l’avvio di un procedimento nel caso non si ottemperi al pagamento secondo le modalità descritte.

 

Gli url rilevati da D3Lab

hxxp://europol.europe.eu.id6575465334-3999456674.k8381.com/
hxxp://fbi.gov.id657546456-3999456674.k8381.com/ 

fanno riferimento a pagine gestite presumibilmente attraverso rewrite e htaccess, apparentemente inserite in un sito web di  

incontri compromesso. Apparentemente htaccess interviene rilevando le stringe europol e fbi.gov ad inizio url, infatti gli url

hxxp://europol.k8381.com/
hxxp://fbi.gov.k8381.com/ 

conducono alle medesime pagine viste sopra.

Il sito k8381.com sembra in realtà essere un comodo contenitore per i file costituenti la struttura della frode, la registrazione del dominio risale infatti a solo 8 giorni fa

   Domain Name: K8381.COM    Registrar: EVOPLUS LTD    Whois Server: whois.evonames.com    Referral URL: http://www.evonames.com    Name Server: NS1.TOPDNS.ME    Name Server: NS2.TOPDNS.ME    Name Server: NS3.TOPDNS.ME    Status: ok    Updated Date: 10-jul-2013    Creation Date: 08-jul-2013    Expiration Date: 08-jul-2014

i motori di ricerca non danno nessuna informazione, WayBackMachine riporta screenshot solo per lo scorso 14 Luglio

e ogni tentativo di registrarsi non sortisce alcun effetto.

Sebbene questo tipo di frode possa apparire dozzinale si ha testimonianza diretta di persone ne sono state vittima.

Il primo semestre 2013 si conclude confermando il phishing quale minaccia sempre attuale!

Nei primi sei mesi dell’anno D3Lab ha rilevato 1247 differenti url fraudolente di attacco. In più di un caso tali url sono state riutilizzate più volte consecutivamente, anche a distanza di diversi mesi.

Incredibilmente alcuni file fraudolenti, in particolare i file php inoculati in host remoti ed usati dai criminali per la gestione delle credenziali inserite nei file htm/html allegati alle mail di attacco, sopravvivono per settimane, addirittura mesi.
L’utente non visualizzando il file remoto non ne segnala l’esistenza ed una carente analisi dell’attacco non porta alla sua eliminazione.

Il confronto degli attacchi portati ai vari enti nei semestri 2012 e nel semestre appena conclusosi conferma Poste Italiane quale ente maggiormente attenzionato dai criminali, sempre interessati alla “conquista” dei dati degli account Poste Pay, mentre Carta Si, che lo scorso anno si era ritagliata il secondo posto nell’interesse delle organizzazioni criminali, può vantare una forte contrazione di attacchi in questi primi sei mesi.

 

Anche Banca Popolare dell’Emilia Romagna ed Unicredit hanno avuto un sostanzioso calo nei tentativi di frode ai loro clienti, al contrario di Lottomatica, la cui card si è rivelata ancora un obbiettivo di deciso interesse per le organizzazioni malavitose, nonostante il calo del secondo semestre 2012.

Il cyber crime ha confermato il proprio interesse per PayPal, probabilmente l’ente più colpito a livello mondiale (monitorato da D3Lab solo relativamente ai tentativi di frode in lingua italiana), così come per Intesa San Paolo, Eni/Agip, Vodafone e Wind.

Il semestre appena conclusosi ha mostrato un forte interesse dei criminali per le società non bancarie, eroganti servizi per i quali sono plausibili offerte attraverso le quali le organizzazioni criminali mirano ai codici di carta di credito degli utenti.

Delle nuove new entry meritevoli di citazione solo Deutsche Bank è ..appunto una banca, mentre per quanto riguarda Venere.com/Expedia, Eurobet e TIM i criminali mirano alle carte di credito, chiedendo direttamente le credenziali o tentando di conquistare l’accesso agli account da cui recuperare tali dati.

Analizzando le modalità di attacco, sia su base quadrimestrale

che semestrale

si assiste ad un incremento degli attacchi con link diretto a sfavore di quelli con redirect, in decisa flessione, e con form. Per questi ultimi è quasi scomparso l’uso di allegati mht, precedentemente rappresentanti una minoranza.
La forte riduzione di questi ultimi e in parte da imputarsi al crollo dei tentativi di frode a Carta Si, avendo rappresentato nell’anno passato la metodica maggiormente usata nei tentativi di frode agli utenti di tale card.

Dal punto di vista operativo si sono rilevati alcuni aspetti di particolare interesse:

1- l’aumento di dominio creati ad hoc, talvolta con l’acquisto dei certificati ssl al fine di rendere maggiormente ingannevole la frode;

2- l’utilizzo di svariate metodiche al fine di ovviare ai meccanismi di black listing attraverso complessi meccanismi con innumerevoli redirect gestiti da script,

con la creazione di path finali aventi nomi univoci,

 

o con l’uso di file htaccess che consentono di avere diversi path/url di attacco puntanti alla medesima struttura.

 

 

3- l’inserimento di phishing nidificati a cui l’utente approda in base al gestore della carta di credito da lui posseduta e di cui ha inserito incautamente i dati.

D3Lab coglie l’occasione per sfatare due luoghi comuni:

• il phishing miete molte vittime, basta leggere i file nei quali i criminali scrivono talvolta le credenziali catturate, per rendersene conto;
• non è affatto vero che tutto avviene dall’estero, che non vi sia il coinvolgimento di soggetti italiani. I cyber criminali per fare cash out necessitano anche di operatori in Italia, sono loro necessari per attivare conti e account e studiare la struttura da colpire. Ma non solo, il monitoraggio costante consente di rilevare l’utilizzo di server, domini creati ad hoc, indirizzi ip e caselle di posta elettronica con domini .IT o comunque residenti su territorio nazionale, sui quali forze di polizia e magistratura hanno giurisdizione.

Il contrasto e l’azione investigativa sono possibili e D3Lab è sempre disponibile, sia verso le aziende, sia verso le forze dell’ordine e della magistratura.