Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

sito fraudolento timestate.it

Gli accertamenti svolti nella prima mattinata hanno portato all’individuazione di un nuovo sito di phishing a danno di utenti TIM.

Partendo dall’url hxxp://timestate.it si visualizza la pagina clone, riprodotta nell’immagine sottostante, pubblicata via HTTPS attraverso serversicuro.it.

La visualizzazione del clone partendo dall’url base del sito/dominio timestate.it lascia ipotizzare l’uso dell’url direttamente in sms di attacco.

D3Lab ha trattato questi recenti attacchi sul blog in quanto presentano caratteristiche innovative in relazione al target colpito, nella fattispecie TIM. Non si proseguirà con ulteriori segnalazioni a meno che non presentino differenze di rilievo.

Si auspica che, come avvenuto in altri casi, la comunità web voglia lasciare traccia nei commenti a questi post dei nuovi url fraudolenti, nonché dei numeri di telefonia da cui potrebbero partire eventuali sms fraudolenti, affinché altri utenti possano individuare la minaccia ed evitarla.

 

sito fraudolento timestate.it

 

Update 23/04/2015 h. 22:47:

domini già impiegati:

  • timpiu.gratis
  • timspecial.it
  • timgratis.it
  • timestate.it
  • timonlinepiu.com

 

Update 08/05/2015 h. 14:02:

domini già impiegati:

  • timgratis.it
  • timofferta.com
  • tim75euro.gratis
  • timestate.net
  • timtutti.it
  • timxtutti.it
  • timnoitutti.it

 

Update 18/05/2015 h. 16:12:

domini già impiegati:

  • timsmart.it

 

Update 03/06/2015 h 17.05:

domini già impiegati:

  • timstart.it
  • timtuttipiu.it
  • timpernoi.it

 

Update 11/06/2015 h 11.38:

domini già impiegati

  • timextra.it
  • timsuper.it (in uso)
mail fraudolenta

Ciò che nel panorama criminali ha dell’incredibile è la perseveranza e costanza di alcuni team criminali.

Il tentativo di phishing a danno degli utenti TIM di cui raccontiamo oggi, tristemente eseguito con successo, è stato messo in atto da un gruppo criminale attivo sin dal 2012, che nel tempo ha affinato i propri template e le proprie modalità operative, mantenendo tuttavia alcune caratteristiche costanti nel tempo. Nel suo “portfoglio” target il team criminale può annoverare Eni/Agip, Carrefour, Total Erg, ma la sua azione è in realtà stata molto più ampia, spesso incisiva, intensa e di “successo”.

 Venerdì 17 Aprile si è individuato un messaggio di posta fraudolento, partito da un host OVH britannico, presenta le seguenti caratteristiche:

mail fraudolenta

 

From: “TIM PROMOTIONALS” <[email protected]>

Oggetto: resta connesso con noi 128101696

Corpo del messaggio (in base64):

Salve [email protected]

Benvenuto in Special Day ricarica e vinci. Se ricarichi il tuo telefonino TIM di 25€ entro oggi, ne avrai in omaggio altri 25 al mese per 3 mesi, per un totale di 75€ erogati. Visita ora la pagina dedicata all’offerta attraverso il link sottostante ed afferra al volo la promozione prima che finisca!

Aderisci ora!

 

Il link celato sotto “Aderisci ora!” portava ad uno short url del servizio bit.do che redirigeva su pagine clone inserite nel dominio timonlinepiu.com, creato ad hoc con nome attinente al target, in hosting presso Register.it.

La home page del sito/dominio presenta la pagina di default dell’hoster, mente il clone viene individuato in sub-directory con nome che viene variato nel tempo dai criminali, risultando comunque sempre raggiungibile caricando l’url 

hxxps://timonlinepiucom.serversicuro.it/tim/  (url malevolo)

La struttura del kit prevede un azione di filtro sugli indirizzi ip, affincheé solo i visitatori facenti uso di ip italiano visualizzino il clone.

pagina clone

 

Le pagine sono pubblicate in HTTPS attraverso serversicuro.it.

Nella giornata di sabato 18 Aprile lo short url risultava essere stato disabilitato, vi sono tuttavia evidenze che le pagine clone hanno continuato a ricevere visite, mietendo vittime, il che lascia presumere l’invio di ulteriori mail di attacco. 

E’ ipotizzabile che nei prossimi giorni/settimane gli attacchi inizino ad essere veicolati via sms come avvenuto in passato per Carrefour e TotalErg.

TIM è stata notiziata lo stesso venerdì 17.

console di monitoraggio del phisher

Da tempo si ritiene che l’utilizzo di dispositivi OTP (one time password) sia riuscito a minare le possibilità dei cyber criminali intenzionati ad accedere ai conti correnti degli utenti da cui movimentare i soldi attraverso bonifici, ricariche telefoniche, pagamenti su conti correnti postali, ecc..
E’ innegabile che negli ultimi anni vi sia stato un forte calo dei tentativi di frode di questo tipo, a favore di attacchi di phishing finalizzati a carpire i dati di carta di credito, la cui richiesta può essere inserita in contesti meno allarmanti/sospetti (ricariche telefoniche, acquisto carte ricaricabili, ecc…).

Tuttavia gli attacchi di phishing all’internet banking non sono affatto superati ed hanno anzi visto alcuni gruppi criminali specializzarsi in essi adottando metodiche di interazione diretta con l’utente che consentono loro di sfruttare in tempo reale il token OTP generato dall’utente o dallo stesso ricevuto via sms.

Nel novembre scorso  l’‘attività di analisi di un tentativo di frode a danno di un istituto bancario di livello nazionale ha permesso a D3Lab di recuperare il kit di phishing, l’insieme di file usati dal criminale per proporre in internet le proprie pagine fraudolente, il cui esame ha evidenziato la presenza di un pannello di controllo in stile bot-net.

pannello di controllo del cyber criminale

Mantenendo questo pannello aperto sul proprio browser il cyber criminale riceveva un segnale sonoro ogni qualvolta un utente inserisse le proprie credenziali, avendo così modo di intervenire in tempo reale, sfruttando i diversi token otp richiesti dalle pagine di phishing nel breve lasso di tempo della loro validità e riuscendo in tal modo ad ordinare bonifici e pagamenti.

L’analisi del kit, realizzato in php, denotò la sua estremamente funzionalità, sebbene non presentasse una realizzazione particolarmente complessa e non facesse uso di data base, caratteristica che lo rende facilmente installabile all’interno dei siti violati usualmente usati dai phisher.

Nell’ultimo bimestre 2014 questa tipologia di kit è stato individuato in attacchi di phishing a danno di due istituti bancari nazionali e di una grande gruppo bancario che raccoglie oltre una decina di istituti con diffusione su tutto il territorio nazionale.

L’analisi dei file costituenti il kit recuperato e delle pagine web che le sue varianti propone ha fornito elementi che lasciano ipotizzare una sua origine est-europea. Non è al momento dato sapere se questi kit siano in uso agli stessi soggetti che li hanno realizzati o se siano acquistabili sul mercato criminale e ad operare possano essere soggetti italiani. Ciò che è certo è che chi opera lo fa con estrema rapidità, riuscendo in pochi secondi ad ordinare e autorizzare pagamenti per svariate migliaia di euro.

I tentativi di frode individuati erano attacchi di phishing tradizionale, veicolati attraverso le usuali mail fraudolente, senza che venisse fatto alcun uso di codici malevoli, evidenziando ancora una volta le notevoli potenzialità di questa tipologia di attacchi.

comunicato stampa TotalErg

Durante la notte abbiamo svolto alcune ricerche in rete in relazione all’attacco di phishing a danno di Total Erg rilevato nella serata di ieri 27 Novembre 2014, da cui è emersa l’esistenza di casi precedenti verificatisi già a fine ottobre.

Fabio Natalucci descrive in un articolo estremamente ben fatto, “Analisi di un caso di Phishing: SMS TotalErg acquisto buoni carburante“, un caso verificatosi nella seconda metà di ottobre, periodo al quale risale anche il comunicato stampa TotalErg “TotalErg nel mirino delle truffe online“.

comunicato stampa TotalErg

 

Sembrerebbe tuttavia che la campagna di phishing sia in realtà stata avviata ben prima, come suggerirebbero indicare le date rilevate nei tag aggiunti dal programma di copia usato per clonare il sito TotalErg.

 

D3Lab opera prevalentemente in ambito phishing, inserita da tempo in un network di professionisti della sicurezza informatica e dell’analisi forense, diversi dei quali collaborano come segnalatori riportando i casi rilevati con tempestività. Nonostante ciò la campagna di attacco, attiva ormai da molte settimane è stata rilevata solo ieri sera. L’utilizzo degli SMS quali veicolo dell’attacco permette ai criminali di far passare l’aggressione molto sotto traccia.

Al momento l’articolo da più parti linkato rimane quello di Natalucci. Questo evidenzia come gli attacchi sarebbero totalmente passati sotto silenzio se uno di questi casi non fosse stato riportato ad un esperto della sicurezza ICT, che rilevandone la peculiarità e pericolosità lo ha analizzato e descritto.

TotalErg, da parte sua, ha evidenziato alla clientela l’esistenza della minaccia, cogliendo il doppio risultato di tutelare i clienti con un giusto avviso e, importantissimo, di innescare con gli stessi un’interazione, come mostrato nell’immagine sottostante,  utile a tracciare il nascere di nuovi siti cloni e l’identificazione dei numeri di telefonia mobile da cui gli SMS vengono inviati.

 

post su pagina Facebbok TotalErg

 

Come per altre campagne di phishing condotte via SMS invitiamo i lettori a trasmetterci attraverso i commenti a questo articolo informazioni relative a:

  • sito web indicato nell’sms;
  • numero di telefono mittente.

Tali informazioni, una volta validate dall’amministratore del blog, diverranno pubbliche consentendo a chi deputato al contrasto ed alla’azione investigativa di seguire l’evolversi della campagna di phishing.

D3Lab ringrazia per la collaborazione.