Le attività dei criminali volti alle frodi on-line si sono fortemente rivolte all’acquisizione dei dati della carte di credito, tuttavia fare poi il cash-out, procedere all’incasso, può non essere propriamente semplice, o comunque può portare ad un lavoro non da poco per accedere a somme tutto sommato più contenute rispetto ai risultati ottenibili con le frodi sull’home banking.

Uno dei gruppi criminali più attivi in panorama italiano volge nuovamente la propria attenzione agli istituti che permettono di operare via internet facendo uso della password dispositiva.

A cadere nel mirino dei phisher sono gli utenti italiani di Deutsche Bank. In base ai rilievi D3Lab, dalla seconda metà del 2009 ad oggi l’attacco a tale istituto rappresenta una novità.
La mail di phishing, inviata da indirizzo IP britannico, presenta le seguenti caratteristiche:

oggetto: Conto bloccato!

mittente apparente: “Deutsche Bank S.p.A”<[email protected]> 

Corpo messaggio (html):

Gentile Titolare, ——————————————————————————————— Abbiamo rilevato attivita irregolari sul tuo Deutsche Credit Card Internet Banking sul conto *******. Per la tua protezione, e necessario verificare questa attivita prima di poter continuare a utilizzare il vostro conto. Si prega di scaricare il documento allegato alla presente-mail a rivedere le attivita del proprio account. Se scegli di ignorare la nostra richiesta, ci lasciano scelta di sospendere temporaneamente il tuo account. ———————————————————————————————— Ti ricordiamo che tramite il sito CartaSi puoi mantenerti sempre aggiornato sulle opportunita’ e sui vantaggi che Deutsche Bank ti riserva. Deutsche Credit Card – Gruppo Deutsche Bank Partita IVA: 01340740156

come si può osservare nell’immagine sottostante il messaggio di posta fraudolento non contiene alcun link, ma

veicola la minaccia attraverso l’allegato Documento.html che aperto in locale presenta nel browser una pagina riproducente

grafica e loghi di Deutsche Bank ed il form in cui vengono richiesti i dati di accesso all’home banking. Questi vengono poi inviati ad un 

server Windows localizzato in Thailandia, usato dai cyber criminali sin dall’ottobre 2012 per colpire Banca Popolare dell’Emilia Romagna e Banca Mediolanum.

L’istituto è stato notiziato.

A meno di un anno dalla piena operatività D3Lab è riuscita a portare l’attività formativa presso i clienti!

Il network di professionisti dall’elevate e specifiche competenze di cui D3Lab si è riuscita nel tempo a contornare permette all’azienda di presentare ai clienti enterprise attività formative di alto livello, rispondenti alle richieste di knowledge e know-how portate da personale da anni operante nei settori sicurezza, sviluppo, gestione sistemi.

Si è da poco concluso il primo corso di “Analisi siti web compromessi” che ha visto un eclettico Mario Pascucci mantenere alta l’attenzione dei partecipanti, per tre giorni consecutivi, analizzando le problematiche di sicurezza dei siti web e le modalità di individuazione ed analisi delle evidence a seguito di una violazione.

La preparazione del docente ha consentito di coinvolgere il personale deputato allo sviluppo web con l’analisi della metodologia OWASP, dei più frequenti errori nella programmazione web e delle problematiche da essi derivanti.

Con il nuovo anno è ripresa la diffusione di malware attraverso false comunicazioni di posta elettronica da DHL, noto spedizioniere con diffusione globale. 

Dalla giornata di ieri, 22 Gennaio, sono già giunte 4 mail, tutte recanti la seguente comunicazione:

Caro cliente,

Il corriere della nostra societa non e riuscito a consegnare il pacco a Suo indirizzo.
Motivo: Lerrore nellindirizzo della consegna.
Lei potra personalmente ricevere il pacco presso Suo ufficio postale.
Lei ha da stampare questo documento per poter ricevere il pacco nellufficio postale.
 

Alla presente lettera e allegato il documento postale.

La ringrazio.
DHL Italiano. 

Gli oggetti con cui le mail si presentano sono due

1. “Vogliate ricevere Suo pacco.”
2. “Un errore nel recapito della consegna.”

mentre i 4 differenti indirizzi email mittenti apparenti riportano tutti il dominio dhl.it.

i link nascosti dal codice html  portano a due diversi url, entrambi ancora attivi, ieri su dominio saudita, oggi su dominio panamense.

Visitando il link con user agent di Internet Explorer si ottiene il download di un archivio zip denominato DHL_IT_ID0976442_234.zip contenente un file eseguibile con nome DHL_IT_ID652372_234.exe, che sottoposto a VirusTotal risulta essere riconosciuto quale malware solo da undici software antivirus dei 46 in uso al portale, vedasi report.

Per l’invio dei messaggi di posta elettronica sono stati utilizzati quattro diversi host, a dimostrazione che gli aggressori non hanno problemi di disponibilità.

La particolarità dei messaggi è che se visualizzati in solo testo, non con il codice html originale, mostrano parti di brani letterari che rimangono celati alla visualizzazione in html.

Le mail di attacco ricevute lo scorso anno, sempre utilizzando il brand DHL e rivolte ad utenti italiani, portavano il malware direttamente in allegato.

Si spera che l’italiano sgrammaticato dei messaggi sia notato dalla gran parte di coloro che hanno ricevuto i messaggi.

Come

Il 2012 si è da poco concluso consentendo di verificare un netto incremento di url unici di attacco tra il primo ed il terzo quadrimestre.

Il raddoppio del numero di segnalazioni raccolte è in parte imputabile all’affinamento della capacità di rilevare gli attacchi di phishing ottenuto con l’entrata a regime di tools e procedure sviluppati e affinati man mano che l’azienda si avvicina a festeggiare il primo anno di operatività effettiva.

Nell’ultimo quadrimestre del 2012 i 642 url unici di attacco, rilevati nei messaggi di posta elettronica o negli allegati ad essi, hanno fatto riferimento a 542 differenti domini/indirizzi ip, il che consente con semplicità di rilevare come parte di questi venga riutilizzata in più attacchi.

Il grafico sottostante mostra chiaramente gli enti verso i quali i tentativi di frode sono stati una costante nell’arco dell’anno appena conclusosi.

Esaminando l’andamento degli attacchi nell’arco di tutto l’anno si può notare come gli tra i cinque enti più colpiti dal phishing, 

la minacci agli utenti/clienti di quattro di questi fosse sostanzialmente volta ad impadronirsi dei codici di carte di credito, mentre solo nel caso di Banca Popolare dell’Emilia Romagna ad essere prese di mira fossero le funzionalità di home banking.

L’esame degli attacchi agli enti distribuiti nei tre quadrimestri mostra come dalla seconda metà dell’anno i phisher abbiano orientato il

proprio operato non solo nei confronti di istituti bancari o di emissione di carte di credito, ma anche nei confronti di società di servizi per l’utilizzo dei cui servizi è plausibile la richiesta dei dati delle carte di credito.
Da giugno si è potuto assistere a tentativi di frode nei confronti degli utenti Telepass, Gioco Digitale, Vodafone, Wind e verso la fine dell’anno, facendo leva sulla crisi economica che mette in affanno el famiglie, sfruttando quindi la promessa di false offerte per l’acquisto di carburante e di rimborsi, anche nei confronti di Eni/Agip e del Gruppo Hera.

In panorama internazionale si assiste invece alla scoperta da parte dei cyber criminali di nuove terre di conquista, con tentativi di frode volti a colpire utenti di banche asiatiche, nord africane e dei paesi arabi.

Relativamente alle metodiche di attacco si nota una netta flessione sia nell’uso di redirect che degli allegati html/htm/mht contenenti form da visualizzarsi e compilarsi in locale.

Il calo degli url unici di attacco utilizzati per i tentativi di frode portati attraverso form allegati non deve far in realtà pensare ad un calo assoluto di tale metodica, si è rilevata infatti una forte persistenza, o capacità di sopravvivenza, delle pagine php (generalmente) utilizzate per la gestione delle credenziali inviate dai form, con alcune di esse che risultano essere riutilizzate in attacchi anche a distanza di diverse settimane.

Il calo nel numero di url unici di attacco utilizzati quali redirect e invece reale e da imputarsi sostanzialmente ad un temporaneo cambio di modalità operativa da parte del gruppo criminale, presumibilmente romeno, che di tale metodica aveva fatto una sua costante almeno dalla seconda metà del 2009.
Solo nelle ultime settimane dell’anno appena concluso tale gruppo sembra star facendo ritorno a tale metodica, da essi ampiamente collaudata. 

Previsioni per il 2013

A fronte dei monitoraggi effettuati dal 2009 ad oggi risulta estremamente complesso lanciarsi in previsioni riguardanti la minaccia phishing.
Enti molto colpiti un anno sono stati quasi ignorati quello successivo, mentre istituti mai attenzionati prima sono poi stati colpiti duramente. 
Sicuramente alcuni enti con un elevato numero di utenti operanti con carte di credito e prepagate rimarranno una costante.
Gli italiani riceveranno ancora moltissime mail fraudolente relative a Carta Si e Poste Italiane. Potrebbe esservi un incremento dei tentativi di frode nei confronti degli utenti Visa, anche se in realtà nei tre quadrimestri si è registrato un calo progressivo, mentre Mastercard rimane al momento ancora troppo poco diffusa per rappresentare un obiettivo pagante.

Un certo interesse potrebbe esercitarlo nei cyber criminali la nuova carta fedeltà e pagamento Eni, di cui si sta assistendo alla pubblicizzazione da alcune settimane, si sa che le novità attirano sempre una certa attenzione, come avvenuto in passato per Lottomatica, molto colpita nel 2011. 

Sul lato home banking si è assistito ad un calo di interesse da parte dei criminali, presumibilmente a causa dell’adozione da parte di diversi istituti di strumenti hardware OTP e di metodiche di autenticazione via cellulare. I phisher potrebbero andare alla ricerca di quegli istituti che ancora operano senza tali strumenti, facendo magari uso delle password dispositive, o riversando comunque l’attenzione su quegli istituti che, seppur proteggendo i clienti con autenticazioni robuste, possono vantare un ampio bacino di utenti.
In tali casi la cornice grafica dei siti di home banking, fedelmente riprodotti in pagine fraudolente, verrà utilizzata semplicemente per mettere a proprio agio il cliente/utente al fine di ingannarlo e convincerlo a cedere i codici delle carte di credito, come in tutto l’anno passato si è visto ripetere ad esempio con Unicredit e San Paolo Intesa.

La possibilità che i criminali si orientino verso enti non bancari, ma deputati alla semplice fornitura di servizi potrebbe rappresentare un trend in aumento, a tali frodi si da ancora poco risalto e potrebbero rappresentare un terreno fertile per i phisher nell’arco dell’anno appena cominciato.