Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

SEM (Search Engine Marketing): la nuova via del Phishing

Per anni i criminali ci hanno portato sulle pagine di phishing inondandoci di false mail. Negli ultimi due anni, data la diffusione di smartphone che consentono una agevolo navigazione sul web, hanno cominciato a veicolare i propri attacchi attraverso SMS, senza tralasciare l’uso di sistemi di messaggistica istantanea quali WhatsApp, o sfruttando l’enorme diffusione dei social network.

Nell’ultimo trimestre si è invece assistito ad un crescente numero di campagne di phishing attraverso le tecniche di marketing sui social network, la cui più banale applicazione è l’acquisto di “spazi pubblicitari” da mostrare agli utenti che effettuano ricerche con specifiche parole.

Dopo i casi verificatesi nell’arco del trimestre a danno di istituti nostri clienti in data odierna, effettuando i monitoraggi di prassi su questo “canale di diffusione”, abbiamo rilevato una campagna di phishing in atto a danno di UBI Banca.

20160725135147

Continua a leggere

/da

SMS di Phishing dal 3424112671

 

SMS Phishing

Nel primo semestre 2016 dalle analisi sul Phishing abbiamo registrato un maggior impiego degli SMS quali veicolo di attacco agli istituti bancari e non solo, in particolare è stato abbondantemente sfruttato il numero 3424112671 come mittente dei brevi messaggi di testo. È probabile che tale numero appartenga ad un Gateway SMS ovvero ad un fornitore di servizi SMS attraverso internet.

I primi messaggi fraudolenti relativi a questo numero di cellulare risalgono ad Ottobre 2015, da allora ad oggi tramite questo numero sono state colpite diverse società:

  • Poste Italiane;
  • WhatsApp;
  • Intesa San Paolo;
  • Facebook;
  • Deutsche Italy Bank;
  • Lottomatica;
  • Banca Marche.

Gli SMS sono un perfetto vettore per il Phishing poiché permettono di scavalcare i filtri antispam delle caselle eMail e catturano maggiormente l’attenzione del destinatario. È un metodo di Phishing meno diffuso e l’utente più inesperto viene tratto in inganno da questa nuova forma di truffa che fino ad ora si era principalmente affermata tramite eMail.

Phishing WhatsApp

Sono diverse le fonti online che citano questo numero e riportano il contenuto degli SMS, la pagina Facebook di “Trutte e Raggiri” lo scorso 8 Aprile 2016 riportava un caso di Phishing ai danni di WhatsApp.

SMS_phishing_23_02_2016

Ma ancor prima a Febbraio 2016 il numero è stato sfruttato per una campagna ai danni di Intesa San Paolo, ed è proprio il gruppo di IT.news.net-abuse su Google a riportare la notizia.

2016.07.21_Screenshot_1532380

Sempre a Febbraio 2016 lo stesso numero, come ci riporta stopting, veniva sfruttato per carpire le credenziali degli utenti della Banca Marche.

2016.07.21_Screenshot_1552480

2016.07.21_Screenshot_1552400

2016.07.21_Screenshot_1552180

Tra ottobre e novembre del 2015 si sono verificati diversi casi ai danni di Poste e WhatsApp secondo i commenti riportati su unknownphone, Poste Italiane che è ancora oggi una vittima del Phishing mediante questo numero. Come possiamo visualizzare da questa segnalazione su Twitter odierna:

2016.07.21_Screenshot_1555270

È importante notare il crescente utilizzo di domini creati ad-hoc, come avevamo già riportato nell’articolo dedicato a PayPal, per carpire ancor più l’attenzione della vittima, rendendo l’inganno più preciso e mirato.

Un estratto dei domini coinvolti è il seguente:

  • postedirect3d.it
  • whatapp.com
  • onlineposte.com
  • myposte3d.co
  • leDB.it
  • myposte5d.it
  • contonet.it
  • whatsapp-italy.net
  • posteinfo.pw
  • posteinfo.us
  • myintesaonline.it

Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e perfezionamento, sfrutta nuove tecniche per carpire le sue vittime e nuovi approcci per risultare più similare al target preso di mira.

/da

Phishing Banca Popolare di Vicenza

Nell’ultimo mese la D3Lab ha assistito ad un’ondata di messaggi di posta elettronica a danno dei clienti di Banca Popolare di Vicenza. L’utente riceve una mail dove gli viene richiesto di confermare le informazioni fornite durante la sottoscrizione dei servizi BVIGO.

bvigo

Continua a leggere

/da

Pokemon Go – Le truffe impazzano

 

Logo_Pokémon_Go

 

In Italia non è ancora arrivata l’applicazione Pokemon GO, ma in tutto il mondo è già un vero tormentone. La nuova applicazione sviluppata da Nintendo permette all’utente di giocare attraverso il proprio smartphone iOS o Android sfruttando la realtà aumentata e la tecnologia GPS.

Il videogioco ha sollevato un furore mediatico che l’azienda non percepiva dai tempi della Wii, le azioni di Nintendo hanno raggiunto quota 26 dollari con un rialzo massimo del 14%. Il più alto rialzo dal 1983 ad oggi per l’azienda.

pokemon1_col-750x698 pokemon1_line

In base ai dati pubblicati dalla SurveyMonkey il gioco è il più utilizzato negli USA e l’utilizzo medio quotidiano per utente ha superato i due Social Network Snapchat e Twitter.

L’attesa snervante per gli utenti Europei, che ancora non posso scaricare l’applicazione e la forte richiesta del gioco hanno creato dei market-place paralleli per il mercato Android in cui è possibile scaricare il software. Peccato che la società di consulenza proofpoint abbia individuato la presenza di un malware nell’applicazione diffusa nei market-place di terze parti.

Ma un mercato così vasto non ha solo alimentato la creazione di malware, ma sono in corso anche campagne di Phishing con domini creati ad-hoc. Campagne che promettono all’utente la vincita di Poké Coins a patto di condividere il sito internet su Facebook e una volta effettua la condivisione l’utente viene poi reindirizzato in un ulteriore sito internet in base alla sua localizzazione. Quest’ultimo sito promette buoni spesa, formazione lavorativa, ecc a patto di inserire i propri dati personali (Nome, Cognome, eMail, Residenza). Tali dati verranno sfruttati probabilmente per campagne intense di Spam, ma conclusa la procedura ovviamente non si ottiene alcun Poké Coins.

Attraverso il nostro monitoraggio di brand, nelle ultime 72h sono stati registrati un alto numero di domini attinenti:

  • 762 nuovo domini contenenti la keyword: pokemon
  • 406 nuovi domini contenenti la keyword: pokemongo
  • 59 nuovi domini contenenti la keyword: pokego
  • 32 nuovi domini contenenti la keyword: pokemons
  • 19 nuovi domini contenenti la keyword: pokemon-go
  • 7 nuovi domini contenenti la keyword: pokeball
  • 6 nuovi domini contenenti la keyword: gopokemon
  • 3 nuovi domini contenenti la keyword: getpoke
  • 1 nuovo dominio contenente la keyword: go-pokemon
  • 1 nuovo dominio contenete la keyword: pokemonsgo

Non sono state rilevate nuove registrazione a nome dei tre personaggi principali del gioco: Squirtle, Bulbasaur e Charmander.

Tra questi domini abbiamo analizzato pokemons-go.com, è stato registrato il 12 Luglio 2016 e richiede la condivisione su Facebook per ottenere il premio. In totale è stato condiviso 5220 volte, commentato 1330 volte e ha ottenuto 578 “Mi Piace”. Per un totale di 7128 interazioni sul Social Network Facebook.

Di seguito vi riportiamo gli screenshot di alcuni siti internet fraudolenti:

Questo slideshow richiede JavaScript.

 

 

 

 

 

 

 

/da
sito phishing Creval

Phishing ai danni del Gruppo Valtellinese

In data odierna abbiamo individuato un tentativo di frode  a mezzo di posta elettronica a danno dei clienti di Credito Valtellinese

20160704130047

 

Il messaggio di posta elettronica fraudolento presentava le seguenti caratteristiche:

Oggetto: Password Scaduta

Mittente: “Credito Valtellinese” <[email protected]>

Testo  del messaggio

————————————————————————

Attenzione. La tua password è scaduta, per poter completare il login, accedi  cliccando qui

————————————————————————

Il collegamento ipertestuale presente nella mail svolge una funzione di redirect che porta i visitatori a una pagina fraudolenta dove vengono richiesti i dati di login dell’account.

 

crop_1467630316

 

Dalle analisi effettuate si è rilevato, nel primo trimestre dell’anno in corso, due attacchi di phishing isolati, forse il test di funzionamento del kit impiegato per la massiccia campagna di phishing rilevata nel mese di Giugno.

I criminali autori di questi attacchi sembrano prediligere l’impiego di host posizionati nel sud est-asiatico (Indonesia e Korea).

/da

Phishing ai danni del Gruppo Hera

Phishing Gruppo Hera

 

Durante l’analisi quotidiana delle attività di Phishing nazionali ed internazionali abbiamo rilevato una nuova campagna ai danni del Gruppo Hera Coom, i Phisher sfruttano il logo e il nome della società leader nei servizi ambientali, idrici ed energetici con sede a Bologna per carpire vittime con la stessa tecnica che abbiamo visto recentemente anche per il gruppo Edison.

L’utente informato mediante eMail che ha diritto ad un rimborso dal Gruppo Hera per un errato conteggio della sua fattura viene invitato a visitare un sito internet per completare la procedura di rimborso. Il sito internet fraudolento che vediamo nell’immagine di apertura richiede all’utente di digitare i suoi dati personali e i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società Bolognese. I dati inseriti nel sito fraudolento verranno sfruttati per addebitare cifre indesiderate sulle carte di credito delle vittime e non per accreditargli l’atteso rimborso.

Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.

/da
clone phishing Banque Postale

Phishing Banque Postale FR

Nella nostrà attività svolgiamo un monitoraggio costante incentrato non solo sul phishing italiano, ma anche straniero, prestando attenzione a quei paesi europei che presentano un trend di attacchi in crescita. Tra questi vi è la Francia, che vede Banque Postale come uno dei target più bersagliati dai criminali. L’esame delle casistiche non di rado porta ad individuare cloni di enti stranieri inseriti nel medesimo sito violato che ospita anche cloni di enti italiani, palesando come i criminali agiscano in maniera traversale e godano di strutture posizionate nei diversi paesi, attaccando La Banque Postale, ma anche istituti di credito italiani. Continua a leggere

/da
Phishing prevenzione: Riconoscimento e identificazione

Attività formativa “Phishing prevenzione: Riconoscimento e identificazione”

Phishing prevenzione: Riconoscimento e identificazione

Ha preso il via nella giornata di ieri l’attività formativa D3Lab in tema di phishing.

Il corso “Phishing prevenzione: Riconoscimento e identificazione” mira ad illustrare caratteristiche, natura, pericolosità di questa tipologia di minaccia non volgendo la propria attenzione unicamente all’utenza customers, ma illustrando i rischi connessi alle aziende, i possibili conseguente attacchi “man in the mail”, il furto di dati e progetti aziendali e lo spear phishig.

about spear phishing

La lezione, della durata variabile da 2 ore e mezzo a 4 ore, dipendentemente dall’interazione con la classe, ha come target personale generico, risultando idonea a far conoscere la minaccia phishing a personale amministrativo, uffici di segretaria e quadri (i più colpiti dallo spear phishing).

phishing WhatApp

La presentazione risulta particolarmente utile per il personale di call center e di filiale che per primo si trova ad interloquire con il cliente ed identificando la minaccia descritta dall’utente customer può raccogliere i dati rilevanti che trasmessi agli assenti anti-frode e sicurezza consentono l’attivazione delle idonee azioni di contrasto.

procedura raccolta dati dal cliente per call center e filiali

Le società interessate possono contattarci per offerte mirate ai riferimenti indicati nella pagina “contatti“.

/da

PayPal un sofisticato clone sincrono con l’originale!

phising-scam-paypal

Nella nostra attività di monitoraggio e contrasto al Phishing abbiamo rilevato nel primo trimestre dell’anno una vasta campagna di Phishing ai danni di PayPal con la registrazione di multipli domini creati ad-hoc come i seguenti dei quali alcuni con valido certificato SSL:

  • http://account-resolved-noticed.com
  • http://confirmation-securley.com
  • http://incpaypallimit.com
  • http://overview-account.com
  • http://peypal-secure-account.ml
  • http://resolved-access.com
  • http://settingpaypal.com
  • http://spoof-verifications.com
  • http://update.pay-pal.cash
  • http://verification-sign.in
  • http://www-paypal-com-apps.party
  • http://www.paypal-365.biz
  • http://www.paypal-365.com
  • http://www.paypal-365.info
  • http://www.paypal-365.online
  • http://www.paypall.com
  • https://cgi-servicescenter.com/
  • https://resolve-verify.com
  • https://validation-customer.org
  • https://ww.vv-paypal.com
  • https://www.payapl-billing.com
  • https://www.validation.reviews

PayPal è da sempre un obiettivo primario per i Phisher ma i recenti cloni hanno attratto la nostra attenzione per l’importante precisione e cura con cui sono stati realizzati. Rispecchiano a 360 gradi il sito ufficiale, adattando la grafica e la lingua in base alla provenienza del navigatore. Ma ad attirare ancor di più la nostra attenzione è stata la tempestività con cui adattavano il design/layout del kit rispetto al sito originale, con sempre le dovute variazioni geografiche. Abbiamo quindi deciso di analizzare e approfondire le tecniche utilizzate in questo Kit recuperato su un server compromesso avente il Directory Listing di Apache abilitato.

Le seguenti tre immagini rappresentano a sinistra il sito ufficiale di PayPal e a destra quello generato dal kit in base alla lingua di navigazione dell’utente, usualmente il Phisher crea diversi Kit in base al target linguistico degli utenti ma in questo caso il kit risulta unico, anche l’indirizzo web, e il codice adatta l’interfaccia grafica in maniera completamente automatica. Per ottenere questo risultato il codice PHP sviluppato identifica inizialmente la geolocalizzazione dell’utente ed in base ad essa effettua uno Web scraping (salvataggio di una pagina web) del sito originale di PayPal selezionando la corretta lingua, l’output verrà poi editato per adattare l’invio delle credenziali al Phisher e non a PayPal.

 

PayPal_RUS_Web

L’interfaccia del sito originale e del clone in lingua Russa

PayPal_FR_Web

L’interfaccia del sito originale e del clone in lingua Francesce

PayPal_IT_Web

L’interfaccia del sito originale e del clone in lingua Italiana

 

Analizzando il Kit abbiamo potuto osservare le seguenti caratteristiche:

  • Identificazione dell’user agent del visitatore e relativo re-indirizzamento al clone dedicato (Desktop o Mobile);
  • Generazione random di un nuova path web ad ogni accesso per limitare la funzionalità delle blacklist (PhishTank, ecc);
  • Geolocalizzazione mediante IP;
  • Blocco di accesso ad utenti e boot prestabiliti (Google Bot, Utenti Tor, Trendmicro, PayPal, ecc);
  • Download in tempo reale del sito ufficiale;
  • Sostituzione di stringe dal sito originale per permettere il salvataggio delle credenziali;
  • Validazione delle credenziali dell’utente (solo se vengono digitate corrette credenziali viene richiesta la conferma della carta di credito del cliente);
  • Salvataggio delle credenziali dell’utente (eMail, password, Nome, Cognome, Carta di Credito, ecc) in un file di testo e contestuale invio a mezzo email al Phisher.

La generazione di una nuova path per ogni accesso è affidata alla seguente porzione di codice, all’accesso viene generato un numero casuale compreso tra 0 e 100000 concatenato all’IP del visitatore e successivamente generato l’HASH MD5 di tale stringa:


$random = rand(0,100000).$_SERVER['REMOTE_ADDR'];
$dst = substr(md5($random), 0, 5);

La geolocalizzazione viene eseguita sfruttando le API pubbliche di Geoplugin.net:

$ip          = $_SERVER['REMOTE_ADDR'];
$details     = simplexml_load_file("http://www.geoplugin.net/xml.gp?ip=".$ip."");
$negara      = $details-&amp;amp;gt;geoplugin_countryCode;
$nama_negara = $details-&amp;amp;gt;geoplugin_countryName;
$kode_negara = strtolower($negara);

Per bloccare gli utenti viene analizzato l’hostname del navigatore o l’indirizzo IP:

$hostname = gethostbyaddr($_SERVER['REMOTE_ADDR']);
$bannedIP = array("^81.161.59.*", "^66.135.200.*", "^66.102.*.*", ecc ecc)
$blocked_words = array("above","google","softlayer","amazonaws","cyveillance","phishtank","dreamhost","netpilot","calyxinstitute","tor-exit", "msnbot","p3pwgdsn","netcraft","trendmicro", "ebay", "paypal", "torservers", "messagelabs", "sucuri.net", "crawler");

La seguente porzione di codice sfrutta la funzione file_get_contents() di PHP per eseguire uno Web Scraping del sito ufficiale di PayPal ed adattarlo alle necessità del Phisher


$url&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp; = "https://www.paypal.com/{$codecountry}/webapps/mpp/home";
$options     = array(
    'http' =&amp;amp;gt; array(
        'method' = "GET",
        'header' = "User-Agent: " . $_SERVER['HTTP_USER_AGENT'] . ""
    )
);
$originalcodemoreart     = stream_context_create($options);
$natija = file_get_contents($url, false, $originalcodemoreart);
...
...
$chof = str_replace($jibsafha . "cgi-bin/signin", $loging, $chof);
$chof = str_replace($get_form, '

&amp;amp;lt;form action="signin" method="post" ', $chof);
...
...

Porzione di codice che ha il compito di verificare, mediante il sito ufficiale di PayPal, se le credenziali digitate sono corrette:


$loggedIn = curl("https://www.paypal.com/webscr?cmd=_account&amp;amp;nav=0.0");
if ($title == "Security Measures - PayPal") {
} elseif (stripos($loggedIn, 'PayPal balance') !== false || stripos($loggedIn, 'Log Out&amp;lt;/a&amp;gt;') !== false) {

L’analisi delle evidenze nel codice e nei commenti del Kit ci ha permesso di identificare il nickname del Phisher, probabilmente di provenienza Araba, e la sua pagina su Facebook. Pagina con oltre 2mila like, la quale viene sfruttata per diffondere nuove versioni del Kit e fornire suggerimenti ai Phisher novelli.

Sfogliando la sua breve galleria fotografica troviamo un bozzetto su carta della grafica di una pagina da clonare, questa immagine ci conferma l’importanza e la precisione che contraddistingue questo Phisher nei suoi progetti.

 

Phisher Facebook

 

Infine il Phisher ha un canale ufficiale su YouTube dove ha pubblicato una video guida sul funzionamento del Kit e le istruzioni per configurare il corretto invio delle credenziali all’eMail desiderata.

PayPal_Phishing_YouTube

 

Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e creazione, sfrutta nuove tecniche dell’Ingegneria Sociale per carpire le sue vittime e nuovi approcci di programmazione per risultare sempre più similare al target preso di mira.

/2 Commenti/da

Edison, nuovo ente coinvolto dal Phishing!

Edison Phishing

In data odierna nelle nostre quotidiane attività di ricerca e contrasto al Phishing abbiamo individuato l’utilizzo fraudolento dei loghi e del nome di un nuovo ente, Edison spa, ai danni degli utenti.

L’utente riceve una finta comunicazione con i loghi dell’azienda Edison dove viene informato che gli spetta un rimborso per un errato conteggio della sua fattura, viene invitato a visitare un sito internet dove dopo aver digitato i suoi dati personali (Nome, Cognome, Codice Fiscale, Data di Nascita, Residenza, Cellulare ed eMail) viene reindirizzato in una nuova pagina dove poter scegliere 4 Istituti Bancari a sua scelta, una volta selezionata la Banca per completare la falsa procedura di rimborso dovrà inserire i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società energetica.

Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.

/1 Commento/da