Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.
Il monitoraggio D3Lab permette di rilevare sempre numerose mails di phishing che puntano a false pagine di login a servizi online di webmail quali Yahoo, Google ecc… ma anche a specifici servizi di gestione mailbox in lingua italiana, come l’attuale spam ai danni di TIM Alice mail.
Questa è una mail di phishing TIM ricevuta nella primissima mattina di ieri, lunedì 1 agosto,
Daniele, il Co-Founder di Dimension srl, ha recentemente raccontato sul suo profilo Facebook di aver subito un tentativo di Phishing a seguito del furto del suo smartphone iPhone.
Riepiloghiamo nel dettaglio l’accaduto, il 22 Luglio Daniele è andato al concerto dei The Chemical Brothers a Milano durante l’evento gli è stato sottratto l’iPhone che teneva in tasca si è accorto del furto grazie all’avviso di mancato collegamento con l’Apple Watch che portava al polso. Il concerto è ormai stato rovinato e trascorre tutta la sera a guardare l’orologio con la speranza di riprendere il segnale Bluetooth del cellulare con l’aspettativa di individuare nelle vicinanze il suo telefono e forse anche i malfattori.
Uscendo dal concerto Daniele si preoccupa di localizzare tramite il servizio Trova iPhone il proprio dispositivo, ma purtroppo il telefono non viene individuato probabilmente perché hanno provveduto a spegnerlo. Conseguentemente decide di attivare la modalità Smarrito attraverso il portale iCloud, tale modalità permette di bloccare il dispositivo con un codice di quattro cifre, far apparire un messaggio personalizzato nella lock-screen e tenere traccia di eventuali future posizioni del telefono se per caso venisse riacceso.
In questo stato l’iPhone è inutilizzabile. Anche un eventuale ripristino del dispositivo tramite iTunes impedirebbe ai ladri di completare la procedura di attivazione, Apple ha infatti introdotto da iOS 8 un ulteriore step di sicurezza per prevenire la riattivazione. Se sull’iPhone è attiva la funzione Trova iPhone e un utente ripristina il dispositivo alla riaccensione vengono chieste le credenziali Apple dell’utente (username, password ed eventuale procedura Two Factory Authentication). Anche Android Marshmallow ha introdotto tale novità.
Daniele fortunatamente aveva attivato il Trova iPhone e quindi i ladri erano impossibilitati nel completare la procedura di ripristino del telefono per poi usarlo/rivenderlo. Per poter completare la procedura necessitavano delle credenziali di Daniele, credenziali che hanno tentato di ottenere mediante il Phishing via SMS, l’iPhone come ormai altri smartphone ha una modalità Emergenza che se correttamente configurata attraverso l’applicazione Salute permette di mostrare la propria Cartella Clinica nella quale è possibile memorizzare diverse informazioni come la propria data di nascita, altezza, peso, gruppo sanguigno e i contatti per l’emergenza. Ovvero quei contatti che un soccorritore dovrebbe chiamare in caso di urgenti necessità.
Daniele aveva correttamente configurato la modalità d’emergenza inserendo il numero di cellulare della compagnia, tale numero era l’unica informazione utile ai criminali per effettuare un attacco di Phishing e rubare l’ID Apple e la Password. Attacco che non si è fatto attendere, dopo alcuni giorni sul cellulare della compagna è arrivato il seguente SMS che riporta le medesime caratteristiche e modello dell’iPhone di Daniele il che esclude ogni eventuale coincidenza.
Il testo del messaggio è il seguente:
Il tuo smarrito iPhone 6S Oro 64GB è stato localizzato oggi alle 03:14pm on July 26, 2016. Controllare la posizione su http://lcloud.lt/?location=278d3
Questo e un messaggio automatico da Apple™
Analizzando il messaggio notiamo immediatamente degli errori grammaticali come “il tuo smarrito”, inoltre l’orario e la data vengono espressi nel formato Inglese riportando il PM e anteponendo il mese al giorno, un corretto messaggio in Italiano avrebbe riportato la data nel formato 24H e il giorno prima del mese. Analizzando invece il sito internet indicato ci accorgiamo che è stata sfruttata la somiglianza grafica del carattere i con il carattere l per far credere all’utente di accedere ad un sito autentico, se riportiamo in maiuscolo il nome LCLOUD notiamo subito l’evidente differenza rispetto al nome originale ICLOUD ma scrivendo la elle (l) in minuscolo è facile confondere l’utente distratto che leggerà nella fretta una i.
Visitando il sito LCLOUD.LT appare un perfetto clone del portale Apple, clone che si adatta automaticamente alla lingua del visitatore come abbiamo già visto per i casi ai danni di PayPal.
Un whois sul dominio di Phishing ci riporta che è stato registrato il 18 Maggio 2016 dall’utente Konstantin Verhovoda avente eMail [email protected], ma come abbiamo già evidenziato in passato durante la registrazione di un dominio non è necessario fornire i documenti di identità e quindi tali informazioni sono facilmente falsificabili.
Notiamo inoltre che il dominio in poco più di 2 mesi ha cambiato due volte la configurazione DNS e il registrante è il provider EPAG.
Se Daniele fosse cascato nell’attacco di Phishing i criminali potevano completare la procedura di ripristino e successiva attivazione e quindi poter vendere o usare il telefono sottratto al concerto.
Ma in quanti ci cascano? Vale veramente la pena ai criminali organizzare un attacco di Phishing?
Non possiamo darvi una risposta certa, ma analizzando l’intera vicenda sicuramente potrete trarre le vostre conclusioni.
Innanzitutto la registrazione di un dominio Lituano (.lt) varia da 15 ai 89euro in base al provider scelto, sappiamo che il Phisher ha sfruttato EPAG come registrante e tale Provider richiede 79euro all’anno per un dominio con estensione .LT. Il sito è inoltre ospitato su un server avente IP 95.46.114.168, attraverso un Reverse Ip Lockup identifichiamo che su tale server è presente il solo dominio LCLOUD.LT e un errore di configurazione del kit di Phishing ci fornisce ulteriori dettagli sulla configurazione del server e dei relativi servizi utilizzati:
Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in /var/www/www-root/data/www/lcloud.lt/
Il Phisher ha acquistato un dominio creato ad-hoc, un server o un Virtual Server attraverso il provider Time Host. Ma non solo, se riguardiamo lo screen del SMS creato da Daniele ci accorgiamo inoltre che SMS non è stato spedito da un numero qualsiasi, ma è stato personalizzato con la dicitura FindMyPhone. Solitamente chi vende online servizi di SMS offre la personalizzazione del mittente ad un costo aggiuntivo e inoltre si vendono pacchetti di SMS non l’invio di uno solo, questa può essere la conferma che sia una pratica consolidata. Tramite il sito Italiano BeSMS apprendiamo che l’invio di 100 SMS con mittente personalizzato ha un costo di 7,99euro.
Pertanto il Phisher nella migliore delle ipotesi per tentare l’attacco a Daniele ha dovuto sostenere le spese di acquisto del dominio, 79euro, l’acquisto di un Server, circa altri 15euro se è un server virtuale e almeno 8euro di SMS per un totale di 102euro. Rischiando che questi 100€ vengano “brucati” nel giro di poche ore, bruciati poichè occasionalmente quando il sito viene riportanto nelle Black List pubbliche di Phishing il provider o il registrante del dominio sospendono la fruizione del servizio mandando all’aria l’intera operazione.
Infine bisogna considerare l’importante lavoro di creazione del Clone Apple, il quale dopo una nostra analisi ha le seguenti caratteristiche:
Il clone non sapiamo se è stato sviluppato dal Phisher o magari l’hai acquistato nel Deep Web, certamente sono servite qualche ore per svilupparlo.
Notiamo quindi un importante dispiego di energie e denaro per riuscire a sbloccare l’iPhone di Daniele, e chissà quanti altri. Ne vale la pena, vale la pena rischiare di spendere 100euro per nuovi domini/server e nella peggiore (migliore per gli utenti) delle ipotesi vederseli bloccare dopo due giorni? Certo, un iPhone 6S nel mercato dell’usato privo di scatola originale vale circa 400euro ovvero quattro volte tanto la spesa sostenuta dal Phisher.
Concludiamo con una galleria di screenshot del Kit presente all’indirizzo lcloud.lt:
Il monitoraggio del phishing internazionale ci ha portato a rilevare molteplici tentativi di frode a danno degli utenti di Free Mobile, società controllata de Illiade Group che si occupa di telefonia mobile in Francia.
D3Lab ha iniziato la sua attività di analisi del phishing a danno di Free Mobile dal secondo semestre dal 2014 e dal grafico sottostante si può osservare come il numero di tentativi di frode a danno dell’operatore francese sia man mano cresciuto nel tempo.
Per anni i criminali ci hanno portato sulle pagine di phishing inondandoci di false mail. Negli ultimi due anni, data la diffusione di smartphone che consentono una agevolo navigazione sul web, hanno cominciato a veicolare i propri attacchi attraverso SMS, senza tralasciare l’uso di sistemi di messaggistica istantanea quali WhatsApp, o sfruttando l’enorme diffusione dei social network.
Nell’ultimo trimestre si è invece assistito ad un crescente numero di campagne di phishing attraverso le tecniche di marketing sui social network, la cui più banale applicazione è l’acquisto di “spazi pubblicitari” da mostrare agli utenti che effettuano ricerche con specifiche parole.
Dopo i casi verificatesi nell’arco del trimestre a danno di istituti nostri clienti in data odierna, effettuando i monitoraggi di prassi su questo “canale di diffusione”, abbiamo rilevato una campagna di phishing in atto a danno di UBI Banca.
Nel primo semestre 2016 dalle analisi sul Phishing abbiamo registrato un maggior impiego degli SMS quali veicolo di attacco agli istituti bancari e non solo, in particolare è stato abbondantemente sfruttato il numero 3424112671 come mittente dei brevi messaggi di testo. È probabile che tale numero appartenga ad un Gateway SMS ovvero ad un fornitore di servizi SMS attraverso internet.
I primi messaggi fraudolenti relativi a questo numero di cellulare risalgono ad Ottobre 2015, da allora ad oggi tramite questo numero sono state colpite diverse società:
Gli SMS sono un perfetto vettore per il Phishing poiché permettono di scavalcare i filtri antispam delle caselle eMail e catturano maggiormente l’attenzione del destinatario. È un metodo di Phishing meno diffuso e l’utente più inesperto viene tratto in inganno da questa nuova forma di truffa che fino ad ora si era principalmente affermata tramite eMail.
Sono diverse le fonti online che citano questo numero e riportano il contenuto degli SMS, la pagina Facebook di “Trutte e Raggiri” lo scorso 8 Aprile 2016 riportava un caso di Phishing ai danni di WhatsApp.
Ma ancor prima a Febbraio 2016 il numero è stato sfruttato per una campagna ai danni di Intesa San Paolo, ed è proprio il gruppo di IT.news.net-abuse su Google a riportare la notizia.
Sempre a Febbraio 2016 lo stesso numero, come ci riporta stopting, veniva sfruttato per carpire le credenziali degli utenti della Banca Marche.
Tra ottobre e novembre del 2015 si sono verificati diversi casi ai danni di Poste e WhatsApp secondo i commenti riportati su unknownphone, Poste Italiane che è ancora oggi una vittima del Phishing mediante questo numero. Come possiamo visualizzare da questa segnalazione su Twitter odierna:
È importante notare il crescente utilizzo di domini creati ad-hoc, come avevamo già riportato nell’articolo dedicato a PayPal, per carpire ancor più l’attenzione della vittima, rendendo l’inganno più preciso e mirato.
Un estratto dei domini coinvolti è il seguente:
Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e perfezionamento, sfrutta nuove tecniche per carpire le sue vittime e nuovi approcci per risultare più similare al target preso di mira.
Nell’ultimo mese la D3Lab ha assistito ad un’ondata di messaggi di posta elettronica a danno dei clienti di Banca Popolare di Vicenza. L’utente riceve una mail dove gli viene richiesto di confermare le informazioni fornite durante la sottoscrizione dei servizi BVIGO.
In Italia non è ancora arrivata l’applicazione Pokemon GO, ma in tutto il mondo è già un vero tormentone. La nuova applicazione sviluppata da Nintendo permette all’utente di giocare attraverso il proprio smartphone iOS o Android sfruttando la realtà aumentata e la tecnologia GPS.
Il videogioco ha sollevato un furore mediatico che l’azienda non percepiva dai tempi della Wii, le azioni di Nintendo hanno raggiunto quota 26 dollari con un rialzo massimo del 14%. Il più alto rialzo dal 1983 ad oggi per l’azienda.
In base ai dati pubblicati dalla SurveyMonkey il gioco è il più utilizzato negli USA e l’utilizzo medio quotidiano per utente ha superato i due Social Network Snapchat e Twitter.
L’attesa snervante per gli utenti Europei, che ancora non posso scaricare l’applicazione e la forte richiesta del gioco hanno creato dei market-place paralleli per il mercato Android in cui è possibile scaricare il software. Peccato che la società di consulenza proofpoint abbia individuato la presenza di un malware nell’applicazione diffusa nei market-place di terze parti.
Ma un mercato così vasto non ha solo alimentato la creazione di malware, ma sono in corso anche campagne di Phishing con domini creati ad-hoc. Campagne che promettono all’utente la vincita di Poké Coins a patto di condividere il sito internet su Facebook e una volta effettua la condivisione l’utente viene poi reindirizzato in un ulteriore sito internet in base alla sua localizzazione. Quest’ultimo sito promette buoni spesa, formazione lavorativa, ecc a patto di inserire i propri dati personali (Nome, Cognome, eMail, Residenza). Tali dati verranno sfruttati probabilmente per campagne intense di Spam, ma conclusa la procedura ovviamente non si ottiene alcun Poké Coins.
Attraverso il nostro monitoraggio di brand, nelle ultime 72h sono stati registrati un alto numero di domini attinenti:
Non sono state rilevate nuove registrazione a nome dei tre personaggi principali del gioco: Squirtle, Bulbasaur e Charmander.
Tra questi domini abbiamo analizzato pokemons-go.com, è stato registrato il 12 Luglio 2016 e richiede la condivisione su Facebook per ottenere il premio. In totale è stato condiviso 5220 volte, commentato 1330 volte e ha ottenuto 578 “Mi Piace”. Per un totale di 7128 interazioni sul Social Network Facebook.
Di seguito vi riportiamo gli screenshot di alcuni siti internet fraudolenti:
In data odierna abbiamo individuato un tentativo di frode a mezzo di posta elettronica a danno dei clienti di Credito Valtellinese
Il messaggio di posta elettronica fraudolento presentava le seguenti caratteristiche:
Oggetto: Password Scaduta
Mittente: “Credito Valtellinese” <[email protected]>
Testo del messaggio
————————————————————————
Attenzione. La tua password è scaduta, per poter completare il login, accedi cliccando qui
————————————————————————
Il collegamento ipertestuale presente nella mail svolge una funzione di redirect che porta i visitatori a una pagina fraudolenta dove vengono richiesti i dati di login dell’account.
Dalle analisi effettuate si è rilevato, nel primo trimestre dell’anno in corso, due attacchi di phishing isolati, forse il test di funzionamento del kit impiegato per la massiccia campagna di phishing rilevata nel mese di Giugno.
I criminali autori di questi attacchi sembrano prediligere l’impiego di host posizionati nel sud est-asiatico (Indonesia e Korea).
Durante l’analisi quotidiana delle attività di Phishing nazionali ed internazionali abbiamo rilevato una nuova campagna ai danni del Gruppo Hera Coom, i Phisher sfruttano il logo e il nome della società leader nei servizi ambientali, idrici ed energetici con sede a Bologna per carpire vittime con la stessa tecnica che abbiamo visto recentemente anche per il gruppo Edison.
L’utente informato mediante eMail che ha diritto ad un rimborso dal Gruppo Hera per un errato conteggio della sua fattura viene invitato a visitare un sito internet per completare la procedura di rimborso. Il sito internet fraudolento che vediamo nell’immagine di apertura richiede all’utente di digitare i suoi dati personali e i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società Bolognese. I dati inseriti nel sito fraudolento verranno sfruttati per addebitare cifre indesiderate sulle carte di credito delle vittime e non per accreditargli l’atteso rimborso.
Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.
Nella nostrà attività svolgiamo un monitoraggio costante incentrato non solo sul phishing italiano, ma anche straniero, prestando attenzione a quei paesi europei che presentano un trend di attacchi in crescita. Tra questi vi è la Francia, che vede Banque Postale come uno dei target più bersagliati dai criminali. L’esame delle casistiche non di rado porta ad individuare cloni di enti stranieri inseriti nel medesimo sito violato che ospita anche cloni di enti italiani, palesando come i criminali agiscano in maniera traversale e godano di strutture posizionate nei diversi paesi, attaccando La Banque Postale, ma anche istituti di credito italiani. Continua a leggere