Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

Internet Illimitato per 6 mesi? No, una campagna di Phishing ai danni di Vodafone!

Dal 21 Luglio è in corso una campagna di Phishing ai danni di Vodafone Italia, gli utenti vengono ingannati da una promozione molto invitante a ricaricare 20euro il proprio numero di cellulare per ottenere in cambio dall’operatore il traffico internet illimitato per 6 mesi! Visto il periodo estivo molti utenti sono interessati ad aumentare il traffico internet incluso nella propria offerta per poter condividere in totale libertà sui Social Network le foto o i video delle vacanze!

I Phisher sfruttano il desiderio dei clienti di aver maggior traffico internet per attrarli in trappola, realmente ricaricando 20euro non si ottiene traffico internet illimitato e neanche 20euro di traffico! Bensì si stanno fornendo i dati della propria Carta di Credito ad un team di criminali! Carta di Credito che verrà sfruttata per effettuare addebiti illeciti decisamente superiori ai 20euro.

L’eMail, che vi mostriamo di seguito, è scritta in un Italiano corretto anche se la grafica e l’allineamento del testo lasciano a desiderare. Da sottolineare inoltre che per rafforzare la veridicità del messaggio citano il programma a premi Vodafone You, un programma dismesso da qualche anno ma certamente non tutti gli utenti sono così attenti nel seguire tutte le novità dell’operatore telefonico.

La prima pagina del kit di Phishing è molto similare alla eMail ma va a rimarcare graficamente i “vantaggi” che si ottengono con una ricarica, ovvero traffico illimitato per 6 mesi!

Simulando l’inserimento dei dati è possibile notare che il Phisher obbliga l’utente a digitare i dati della Carta di Credito, nonostante graficamente vediamo l’opzione di pagamento tramite PayPal realmente tale possibilità è inibita. Successivamente alla digitazione dei propri dati viene mostrata una pagina di riepilogo in cui viene riportato il taglio della ricarica selezionato, il numero di cellulare e i dati della Carta di Credito.

Invitiamo come sempre gli utenti alla massima attenzione, questo attacco di Phishing seppur fatto bene sfrutta un dominio facilmente identificabile come falso.

/da

Phishing ai danni di Casa.it

Le attività di Phishing vengono svolte non solo con l’intento di acquisire i dati bancari delle vittime come spesso vediamo ma anche credenziali di accesso ai più diversi servizi, lo screenshot di apertura ne è per l’appunto un esempio. Il porta immobiliare Casa.it è vittima di una campagna di Phishing dallo scorso 18 Luglio, la campagna con la creazione di un opportuno dominio ad-hoc vuole ottenere le credenziali di accesso del portale.

Il kit costruito dai Phisher è in grado, come visibile nello screenshot successivo, di verificare le credenziali immesse. Se non corrette viene riportato l’errore “Dati di accesso non validi”.

Se invece la vittima digita credenziali corrette si riceve un messaggio di conferma e si viene reindirizzati al sito autentico www.casa.it

I Phisher hanno quindi ottenuto le credenziali che possono essere sfruttate per modificare annunci immobiliari già presenti o inserirne di nuovi.

Nel periodo estivo gli annunci di affitto di case vacanze aumentano, se un annuncio legittimo venisse modificato citando un contatto telefonico/eMail alternativo cosa potrebbe succedere? Il criminale sostituendosi al legittimo proprietario potrà richiedere una caparra su un conto corrente alternativo per la prenotazione dell’appartamento, frodando pertanto la vittima che non solo ha perso la caparra ma anche la prenotazione dell’appartamento.

/da

Serverplan: un altro provider Italiano colpito da Phishing

Serverlplan_Phishing.png

 

Sempre più spesso rileviamo campagne di Phishing ai danni di provider Italiani, lo scorso Marzo vi riportavamo un attacco mirato a 4 provider Italiani. Recentemente abbiamo rilevato una nuova campagna fraudolenta ai danni di Serverplan, altro noto provider Italiano partner di cPanel & WHM per l’erogazione dei servizi in Hosting.

I Phisher hanno per l’appunto clonato la pagina di login della WebMail di cPanel, nonostante non siano presenti loghi o marchi di Serverplan nella pagina di Phishing si desume che l’attacco è rivolto ai loro clienti dall’url che incorpora la sottocartella denominata “serverplan” ed inoltre testando l’inserimento di credenziali il form richiama tramite chiamata POST il file “lanciola.php” che, dopo aver ricevuto e gestito le credenziali, effettua un redirect al sito https://www.serverplan.com.

Di seguito un estratto del comando curl sullo script PHP che ha il compito di ricevere le credenziali e reindirizzare la vittima sul sito ufficiale

$ curl -Iv http://watchmanreports[.]com/serverplan/lanciola.php
* Hostname was NOT found in DNS cache
* Trying 184.154.216.242…
* Connected to watchmanreports[.]com (184.154.216.242) port 80 (#0)
> HEAD /serverplan/lanciola.php HTTP/1.1
> User-Agent: curl/7.35.0
> Host: watchmanreports[.]com
> Accept: */*
>
< HTTP/1.1 302 Moved Temporarily
HTTP/1.1 302 Moved Temporarily
* Server nginx is not blacklisted
< Server: nginx
Server: nginx
< Date: Wed, 12 Jul 2017 09:54:12 GMT
Date: Wed, 12 Jul 2017 09:54:12 GMT
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 0
Content-Length: 0
< Connection: keep-alive
Connection: keep-alive
< X-Powered-By: PHP/5.4.45
X-Powered-By: PHP/5.4.45
< Location: https://www.serverplan.com
Location: https://www.serverplan.com
< X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
X-Content-Type-Options: nosniff
< X-Nginx-Cache-Status: MISS
X-Nginx-Cache-Status: MISS

<
* Connection #0 to host watchmanreports[.]com left intact

Acquisite le credenziali delle caselle eMail i Phisher oltre ad accedere ad eventuali dati sensibili contenuti nella casella di posta elettronica, possono estrapolare nuovi contatti ed inviare messaggi fraudolenti.

Invitiamo gli utenti alla massima attenzione.

/da

Il Phisher invia le credenziali delle vittime tramite IRC

In un recente caso di Phishing ai danni di Poste Italiane abbiamo potuto analizzare il Kit sfruttato dal Phisher per simulare il portale autentico di poste Italiane, solitamente le credenziali delle vittime vengono inviate al truffatore tramite eMail oppure salvate localmente in un file binario.

Questo Kit in analisi permette di inviare le credenziali anche tramite IRC, in un network ed un canale specifico. Il Phisher collegato alla rete IRC potrà quindi vedere in tempo reale le credenziali (username, password, telefono, carta di credito, ecc) digitate dalla vittima.

Nello screenshot iniziale potete notare una simulazione che abbiamo eseguito sfruttando il kit, uno script PHP ha il compito di collegarsi al canale specificato (#testtest nel nostro esempio) e andrà a riportare le credenziali delle vittime. Il bot IRC è inoltre in grado di rispondere a dei comandi prestabili tra essi è indubbiamente rilevante il comando manda che ha il compito di stampare a monitor tutte le credenziali carpite. Infine il comando Salir termina l’esecuzione dello script PHP ed esce dalla Chat.

 

/1 Commento/da

Phishing ai danni di Email.it per carpire le credenziali degli utenti!

Email.it è uno dei principali portali Italiani ad offrire caselle di posta elettronica (gratuite o a pagamento) con oltre mezzo milione di caselle realmente attive. Durante lo scorso week-end del 20 e 21 Maggio 2017 abbiamo rilevato una campagna di Phishing ai danni degli utilizzatori dei servizi offerti. Il provider Italiano si avvale della piattaforma di posta elettronica Zimbra per offrire l’accesso alla WebMail e proprio il Phisher fa leva su questa caratteristica recentemente pubblicizzata dal portale per veicolare al meglio il tentativo di Phishing.

L’eMail rilevata, che riportiamo integralmente di seguito, chiede all’utente di confermare le proprie credenziali di accesso causa un ipotetica chiusura degli account, ma chiede inoltre anche l’attuale occupazione, la data di nascita e il paese di residenza.

Ciao cari Membri Webmail/Zimbra.it Utenti
A causa della congestione del traffico in tutti gli account utente Webmail/Zimbra.it!,Webmail/Zimbra.it! sarebbe la chiusura di tutti gli account non utilizzati. Per evitare di disattivare il tuo account, devi confermare il tuo indirizzo e-mail compilando tuoi dati di accesso qui di seguito, cliccando sul pulsante Rispondi. I dati personali richiesti è per la sicurezza del tuo Webmail/Zimbra.it account.Si prega di compilare tutte le informazioni richieste.

Nome utente:………………………………………….
Indirizzo e-mail:…………………………………….
Password: ……………………………………………
Data di nascita:………………………………………
Occupazione:………………………………………….
Paese di residenza:…………………………………….

Dopo aver seguito le istruzioni del foglio, il tuo Webmail/Zimbra.it account! account non verrà interrotto e continuerà come al solito. Grazie per la vostra azione di cooperazione solito. Ci scusiamo per gli eventuali disagi.

Webmail/Zimbra.it! Servizio Clienti
Caso numero: 8941624
Bene: Account Security
Contatta Data: 20-05-2017

L’intento del Phisher è indubbiamente quello di ottenere l’accesso alle caselle eMail della vittima e successivamente carpire informazioni sensibili (messaggi e allegati confidenziali), arricchire le proprio liste di eMail a cui spedire Phishing o inviare eMail direttamente dalla casella della vittima.

Abbiamo risposto al Phisher fornendogli dati fittizi, ma integrando un tracciante per profilare il truffatore. L’eMail è stata letta tre volte nell’arco di 24h, probabile perché ha tentato più volte le credenziali errate che gli erano state fornite, l’User Agent ci rivela che l’eMail vengono lette tramite il Browser e la relativa WebMail vanificando un eventuale tracciatura dell’IP ma veniamo a conoscenza dell’uso di Google Chrome e del sistema operativo Microsoft Windows infine il linguaggio del Browser è Francese (fr-FR).

 

Il phisher potrebbe essere Francese o conoscere molto bene la lingua Francese da preferirla rispetto alla sua lingua nativa, in passato abbiamo già discusso di una forte comunità di Phisher di origine Marocchina.

/da

Phishing a danno della Banca Popolare del Lazio

Lo scorso Giovedì 6 Aprile abbiamo rilevato diversi attacchi di Phishing ai danni della Banca Popolare del Lazio, di tale ente in passato non avevamo mai rilevato alcun tentativo di Phishing. In una prima fase l’intento del Phisher era quello di carpire esclusivamente le credenziali di accesso all’Home Banking, effettuando l’inserimento delle credenziali la vittima veniva reindirizzata al sito autentico dell’istituto bancario.

Nel pomeriggio della medesima giornata abbiamo rilevato una successiva modifica al kit, una volta digitate le credenziali la vittima era invitata a digitare il proprio Token OTP. Attaverso le credenziali e il token il criminale può operare sul Home Banking delle vittima eseguendo operazione illecite, quali bonifici, ricariche telefoniche, ecc ecc.

Analizzando il codice HTML ci troviamo di fronte a due pagine molte semplici in quando il Phisher ha sfruttato una tecnica sempre più diffusa per ovviare ad eventuali problemi grafici, anzichè replicare ogni singola immagine, regole css e JavaScript le due pagine sono composte da una grande immagine di sfondo che riproduce il sito ufficiale sovrapposta esclusivamente dai form per raccogliere le informazioni della vittima.

Notiamo attraverso queste due immagine di sfondo un ulteriore conferma dell’avvenuto aggiornamento del kit, l’orario riportato nei due precedenti screnshot  è diverso con un lasso di tempo importante. Infatti l’immagine di sfondo della schermata di login riporta “2017-04-06 08:48” mentre l’immagine di sfondo della schermata del codice OTP riporta “2017-04-06 14:59”. 6h di differenza in cui il Phisher  ha sfruttato le credenziali inserite da una vittima per poi effettuare un accesso illecito al homebanking e poi clonare anche una seconda pagina.

Un ultimo particolare, che forse i lettori più attenti avevano già notato nel secondo screenshot, alla destra del messaggio Bentornato/a appare normalmente il nome del cliente dell’istituto di credito una volta eseguito il login. In questo caso il Phisher ha coperto il nominativo con un rettangolo grafico trascurando il cambio di gradiente, permetendoci quindi di riconoscere un ulteriore alterazione.

Concludiamo l’articolo mostrandovi l’immagine della eMail pervenuta alle vittime ricordandovi di prestare sempre la massima attenzione.

/1 Commento/da

Phishing ai danni della Banca Carige

Nella serata di Lunedi 10 Aprile abbiamo rilevato una nuova attività di Phishing ai danni del Gruppo Banca Carige, l’eMail avvisa le vittime che è stata rilevata una attività insolita sulla Carta di Credito della vittima e lo invita ad accedere al Collegamento Sicuro per confermare la propria identità.

Ovviamente non si tratta di alcun Collegamento Sicuro, l’utente infatti viene indirizzato ad un sito internet compromesso in cui gli vengono richieste le credenziali del suo Home Banking permettendo di scegliere una delle banche del Gruppo Carige:

  • Banca Carige Spa
  • Banca Carige Italia Spa
  • Cassa di Risparmio di Savona SpA
  • Cassa di Risparmio di Carrara SpA
  • Banca del Monte di Lucca SpA
  • Banca Cesare Ponti

Selezionato il proprio istituto bancario e digitate le credenziali alla vittima viene mostra l’interfaccia dell’Home Baking fedele all’originale, ad eccezzione di una evidente modifica sulla parte centrale in cui vengono richiesti i dati della carta di credito con la giustificazione che è necessario digitarli per sbloccare l’account.

Il Phisher per ricostruire così fedelmente l’interfaccia grafica deve aver avuto accesso al pannello di Home Banking attraverso le proprie credenziali o ad una precedente operazione di Phishing, analizzando più approfonditamente il kit di Phishing sono emersi ulteriori dettagli.

Inanzitutto il footer riporta “2015 – Gruppo Banca Carige – Banca Carige S.p.A.” la dicitura “2015” evidenza come il clone possa essere creato nel 2015 e non attualmente!

Analizzando inoltre il codice HTML è possibile identificare informazioni offuscate o parzialmente modificate dell’utente sfruttato per accedere al legittimo sito di Home Banking del Gruppo Carige per eseguire la clonazione. Come vi mostriamo nei seguenti tre screenshot è possibile risalire al Nome e Cognome, eMail e Numero di Cellulare.

/da

Phishing ai danni della Banca Popolare dell’Alto Adige Volksbank

Nella giorna odierna abbiamo rilevato un nuovo attacco di Phishing ai danni della Banca Popolare dell’Alto Adige Volksbank, l’intento del Phisher è quello di acquisire le credenziali di accesso all’Home Banking e successivamente i 24 Token statici. Sfruttando i token forniti dalla vittima i Phisher potranno effettuare operazioni illecite, come bonifici, ricariche telefoniche e qualsiasi altra operazione concessa all’utente sul suo Home Banking.

Invitiamo pertanto gli utenti alla massima cautela ricordandovi che gli Istitui Bancari non richiedono mai di confermare tutti i Token in vostro possesso.

/da
clone totalerg

Torna il Phishing TotalErg… la schizzofrenia del Recorder Team!

Del Recoder Team si è molto parlato nelle ultime settimane, quando a seguito di operazioni congiunte di Polizia di Stato (con la specialità della Polizia Postale) e Guardia di Finanza [ articolo 1, articolo 2, articolo 3] e successivamente dei Carabinieri di Carpi diversi appartenenti all’organizzazione sono caduti nelle reti degli investigatori.

Su questo blog e sul profilo Twitter di D3Lab abbiamo nel frattempo continuato a dare evidenza della della loro attività a danno di ING/Agip Eni, Mediaworld, BNL (tweet1, tweet2), segno evidente che la divisione tecnica e gestionale del team criminale è rimasta operativa.

D3Lab assegna a Recorder Team la paternità di una lunga serie di attacchi, dai telefonici, a Carrefour, Agip/Eni, Total Erg fino ai più recenti attraverso un lungo lavoro di analisi delle metodiche operative, dell’utilizzo dei domini creati ad hoc e della struttura dei cloni.

Monitorando alcuni domini creati dai criminali nella giornata di ieri si è rilevata un’attività schizofrenica da parte del Recorder Team che ha coinvolto due domini:

dominio|data registrazione|nome registrante|indirizzo mail registrante

mediaworldfree.info|2017-03-25|Gianfranco Antonuccio|[email protected]

mediaworldfree.net|2017-03-25|Gianfranco Antonuccio|[email protected]

Alle ore 06.07 UTC  mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone ING Direct

 

acquisizione clone ING

Il clone è rimasto disponibile solo pochi minuti.

Alle 06:44 UTC il dominio effettuava un redirect verso la sottocartella, inesistente, /TelecomItaliaTelefoniaMobile2016/.

Alle 8:47 UTC il dominio effettuava un redirect verso totalergonlinepetrolinet[.]serversicuro.it dove non era disponibile alcuna pagina.

Alle ore 14.35 UTC  mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone CartaSì:

 

Acquisizione clone cartasi

Questa notte nuova svolta!

Alle  00:18 UTC, poco dopo mezzanotte ora di Greenwich mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone TotalErg, clone tutt’ora disponibile.

clone totalerg

acquisizione redirect

 

acquisizione clone Total Erg

 

Il recorder Team torna a colpire Total Erg a distanza di due anni: dall’agosto 2014 alla fine di dicembre i criminali portarono avanti una intensa campagna di phishing veicolato attraverso sms, assurta agli onori della cronaca con servizi televisivi anche in casa RAI. Avevamo scritto due articoli disponibili sempre sul nostro blog: Primo Articolo e Secondo Articolo.

Particolarmente interessante è il dettaglio del codice html della pagina clone sopra evidenziato in viola, che evidenzia come la copia del sito sia stata realizzata il 19 Agosto 2014 alle ore 17:46 e 16 secondi, usando il software  HTTrack.

Particolare che rileviamo (vedasi immagine sottostante) anche nei file acquisiti dal phishig TotalErg del 2014, ad essere precisi del 25 dicembre 2014…in D3Lab si lavora anche a Natale!!

Battuta a parte, l’evidenza palesa come la paternità dell’attuale clone TotalErg sia imputabile al medesimo gruppo criminale che operò già all’epoca.

acquisizione di un phishing TotalErg del dicembre 2014

L’hash differente è dovuto al differente termine riga, come evidenziato da meld.

differenze tra i file

 

/da

Servizio Clienti: l’importanza della formazione Anti-Phishing

Il Rapporto Clusit 2017 indica un forte aumento delle attività di Phishing nel nostro paese ed è quindi sempre più importante focalizzare l’attenzione di tutta la popolazione su questa attività di frode.

Le aziende devono prevedere attività di formazione per tutto il personale al fine di evitare la divulgazione di documenti riservati, diffusione di ransomware, movimentazioni bancarie illecite o qualsiasi altra attività che può fortemente destabilizzare l’andamento economico di una società.

Questo invito è maggiormente rimarcato per tutte le aziende che hanno un contatto diretto con il consumatore, attraverso i Call Center o Social Care, le quali non devono solamente prevenire un attacco diretto ma evitare che i propri clienti vengano truffati da attività di Phishing con loghi e marchi dell’azienda.

Il consumatore, ignaro del Phishing, ingenuamente penserà che l’addebito inconsueto sulla sua Carta di Credito sia stato eseguito dall’azienda vittima di Phishing e non da un team di Phisher. Creando un danno di immagine rilevante.

Il 22 Marzo abbiamo rilevato su Twitter un imbarazzante situazione del Social Care di TIM, il quale ha invitato un utente a visitare una eMail di Phishing perché la ritenevano lecita.

Lunedì 20 Marzo l’utente Damiano Achilli riceve via eMail la seguente comunicazione:

 

Insospettito da alcuni errori grammaticali decide di chiedere al supporto TIM una conferma, se l’eMail sia legittima o meno:

 

Il servizio clienti conferma la legittimità della comunicazione e l’utente procede a richiedere il rimborso compilando il modulo online.

La risposta del servizio clienti TIM è stata rimossa, ma conteneva quanto segue: “@Damiano_Achilli ciao, si confermiamo ? Buona giornata #TIM4U”.

Damiano fidandosi della risposta ricevuta, perderà 60€ che vengono illecitamente sottratti dalla sua Carta di Credito Prepagata. Si trattava palesemente di una attività di Phishing, con l’utilizzo della codifica base64 come abbiamo visto recentemente in un altro articolo.

Sfruttando Google Cache riusciamo a visualizzare la risposta, che potete vedere anche nel seguente screenshot:

Lo stesso Damiano ci ha inviato due screenshot che ha personalmente effettuato:

 

 

Al fine di dare maggiore evidenza ai dati sopra presentati abbiamo proceduto acquisendo la pagina di Twitter presente nella cache di Google attraverso Hashbot:

 

acquisizione via hashbot

da cui si rileva nuovamente il testo della risposta data dall’account TIM_Official

 

Una ulteriore forma di acquisizione attraverso terze parti è stata effettuata usando le funzionalità di archive.is e qui http://archive.is/7klQT potete vedere sia la pagina che lo screenshot, con la risposta di TIM_Official a Damiano in terza posizione.

Infine abbiamo acquisito il tutto anche con wireshark tramite la visualizzazione della cache di Google, senza fare uso di https.

file: risposta_cancellata_TIM_Official_a_Damiano_Achilli.pcap
sha256: 91b42e0609b76820e9283574c32f84ea3d726a3eb72b7efb0a057000aa96d799

Sfruttando l’opzione File > Export Objects> HTTP di wireshark è possibile estrapolare la pagina web ricevuta in risposta da Google (file packet_1230.txt, sha256 79da9bbbcc4a520fb97c3f7c73f9355ba9fbe913b60b047ca5dbff5f45e1cf60):

 

estrazione pagina da file pcap

 

risposta di TIM_Official all'utente

 

L’accaduto evidenzia quanto la formazione degli operatori destinati a supportare il consumatore (Call Center, Social Care, Personale di Filiale, ecc…) in materia di truffe e frodi sia necessaria a salvaguardia la sicurezza e dell’immagine delle società. La soluzione non passa certo per tweet cancellati.

Update 24 marzo 2017 – 14.37

Damiano, vittima della frode, ci ha raccontato di aver ricevuto notifica del pagamento effettuato dai criminali con la sua carta di credito, nella quale veniva indicato l’acquisto di servizi presso l’ISP francese AMEN.FR

58d14d48abdfa WWW.AMEN PARIS FR N. 654831

Amen.fr è una controllata di Dada Spa, società a cui fa capo pure l’italiana Register.it. E’ quindi presumibile che il criminale abbia usato la carta di credito della vittima per acquistare servizi web da riutilizzare in truffe future.

La TIM è doveroso indicare come la società, attraverso le pratiche burocratiche di rito, si sia impegnata a rimborsare Damiano attraverso i servizi da TIM lui acquistati. Tutto è bene ciò che finisce bene.

/da
D3Lab Srl unipersonale – P.IVA IT01865450496 – Italy – Phone: +3905861946434