Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

andamento phishing 2015

Nell’anno ormai al termine i criminali hanno posto la loro attenzione su enti precedentemente poco o per nulla colpiti dal phishig, come Veneto Banca e Banca delle Marche.

Nel caso degli enti citati ci si può ritenere fortunati che i criminali non abbiano confezionato le mail di attacco facendo leva sulle problematiche ormai note a tutti di tali istituti. Si può immaginare con facilità quale sarebbe stato il grado di allerta ed ansia provocato da false comunicazione che, paventando l’utilizzo dei conti correnti dei risparmiatori per ripianare i debiti degli istituti, avessero veicolato gli utenti verso pagine di phishing.

andamento phishing 2015

 

In altri casi i phisher sono tornati a colpire istituti di credito non aggrediti da diversi anni. Si è in definitiva assistito ad un anno  in cui a fronte di un netto calo dei tentativi di phishing si è avuto un incremento degli attacchi ad enti non bancari, in particolare gli operatori di telefonia mobile ed Apple, ed una migrazione da target ormai classici (Poste Italiane, PayPal, ecc…) verso target meno soggetti al fenomeno, i cui clienti ed utenti presentano quindi una minor scaltrezza e conoscenza della minaccia.

Si inserisce in tale contesto il tentativo di phishing rilevato nella serata di ieri a danno dei clienti dell’istituto di credito Banca Agricola Popolare di Ragusa:

messaggio di posta fraudolento

Il messaggio di posta fraudolento presenta le seguenti caratteristiche:

Mittente apparente: <[email protected]>
Oggetto: EQUITALIA

testo:

————————————————————————————

EQUITALIA

Cartella esattoriale nr 96263/12 procedimento amministrativo sanzonatorio del 24/06/2012.

Qualora non abbia gia provveduto al pagamento la preghiamo di accedi la raccomandata nella sezione di sito autorizzato Banca Agricola Popolare di Ragusa.

ACCEDI DOCUMENTO

La ringrazioamo per la collaborazione.

Distinti saluti ,

EQUITALIA

————————————————————————————

 

Il link celato dalla dicitura “ACCEDI DOCUMENTO” porta ad una pagina php, che insieme ad altre 299 inserite in un sito web UK violato, ha la funzione di redirect e conduce i visitatori alle pagine clone inserite in un sito web romeno, dove all’utente sono richiesti i dati di login.

prima pagina clone

 

nella pagina successiva viene richiesto all‘utente di inserire il proprio numero di cellulare.

 

seconda pagina fraudolenta

 

La mancata richiesta di ulteriori dati via web lascia ipotizzare che i criminali, dopo aver effettuato il login con i dati acquisiti e verificato l’effettivo ammontare di quanto presente sul conto, possano procedere perfezionando la frode via telefono, sfruttando i dati acquisiti dalle pagine del cliente.

 

 

mail fraudolenta

Inbiz è una piattaforma che Intesa SanPaolo ha realizzato affinché aziende, istituzioni finanziarie ed amministrazioni pubbliche possano gestire le proprie attività finanziarie, contabili e amministrative in modo accentrato, attraverso un unico strumento.

Ed è proprio questa piattaforma ad essere oggi stata presa di mira da un’entità criminale piuttosto eclettica, che nelle ultime settimane ha realizzato molti tentativi di phishing a danno degli utenti Apple ed anche di Intesa SanPaolo, Unicredit e Gruppo Hera.

La mail di attacco individuata presenta le seguenti caratteristiche:

 

mittente apparente:

Inbiz <[email protected]>

Inbiz <[email protected]>

Inbiz <[email protected]>

oggetto: Messaggio interno!

corpo del messaggio:

 ————————————————————-

Caro Clienti Inbiz,

 

Hai ricevuto un nuovo messaggio interno.

Clicca per leggere

————————————————————–

mail fraudolenta

 

Il link “Clicca” nasconde il collegamento all’url fraudolento mostrato nello screenshot sottostante, facente capo ad un sito web

 

pagina web fraudolenta

 

posizionato in un server statunitense

ip:54.212.252.185
asn:AS16509
city:Boardman
latitude:45.8399
country_code:US
offset:-7
country:United States
isp:Amazon.com Inc.
timezone:America\/Los_Angeles
region:Oregon
postal_code:97818
country_code3:USA

 

E’ opportuno notare che la pagina clone è stata inserita in un sito web violato dotato di certificato SSL valido, per cui si può osservare l’indicazione verde HTTPS, che da sola si dimostra non essere più un parametro di riferimento per valutare l’affidabilità della pagina web in cui si inseriscono le credenziali, ma che mantiene invece un elevato potere di inganno in assenza di ulteriori verifiche, quali il corretto nome dominio.

Questo fatto non è una casualità, rappresentando una della caratteristiche distintive di questo gruppo criminale, da D3Lab soprannominato Rocket Team. 
Rocket Team è stato recentemente (la scorsa settimana) autore di un attacco di phishing a danno degli utenti del società fornitrice di energia Gruppo Hera, società che attacco già nel dicembre 2012 e nei primi mesi del 2013, quando per altro si dedicava anche a colpire SKAT, ente di riscossione tributi danese.
Nel 2014 il Team colpì duramente gli utenti di servizi e dispositivi Apple, per poi far perdere le proprie tracce per tutta la prima metà del 2015. Dallo scorso agosto questo gruppo criminale è tornato ad operare nell’ambito italiano, cercando di catturare le carte di credito degli utenti Apple e dei clienti Intesa SanPaolo e, come abbiamo già detto, del Gruppo Hera.

Nelle ultime settimane Rocket Team ha mostrato un cambio di strategia mirando alle credenziali dei servizi di internet banking degli utenti Unicredit, strategia che evidentemente gli sta portando degli introiti se ora decide di mirare al medesimo tipo di dati degli utenti del servizio Inbiz di Intesa.

L’esame degli headers della mail evidenzia l’invio da host statunitensi facendo uso dello script x.php eseguito dall’utente www-data, il web server.

particolare headers

 

 

 

mail fraudolenta

I criminali tornano a colpire gli utenti Telepass a distanza di oltre tre anni (15/06/2012, 22/06/2012).

Nella giornata odierna è pervenuta nella mail box la seguente mail:

Oggetto: ТЕԼЕРАЅЅ FАМІԼҮ

Mittente apparente: “[email protected]” <[email protected]>

Testo del messaggio:

Salve [email protected],

TELEPASS FAMILY ti premia con 90 giorni gratuiti.

Novit�: per 90 giorni puoi viaggiare gratis, basta cliccare sul link promozione in basso e verificare la tua identit�.

Una volta ricevuta l’autorizzazione dalla tua Banca provvederemo ad inviare il codice sul tuo estratto conto col quale ti dovrai recare al primo PUNTO BLU e riscattare i tuoi 90 giorni gratuiti in Autostrade Italia

Prosegui con la verifica!

 

mail fraudolenta

 

 

Come si può notare dall’immagine soprastante riproducente la mail, il messaggio è scritto in italiano corretto, mentre balzano agli occhi i caratteri accettati non correttamente codificati.

La dicitura “Prosegui con la verifica!” nasconde il collegamento ipertestuale alle pagine fraudolente. Nella prima vengono richiesti i dati 

prima pagina fraudolenta

 

della carta di credito (numero, scadenza e cvv), nella seconda pagina viene richiesto il securo code Visa/Mastercard.

seconda pagina fraudolenta

 

L’attacco di phishing in questione è ad opera di un gruppo criminale particolarmente agguerrito, operante principalmente a danno degli operatori di telefonia mobile.

A conferma di ciò all’interno del sito web compromesso impiegato per pubblicare il clone Telepass è stato individuato anche un clone a danno dei clienti H3G.

pagina clone H3G

andamento phishing rilevato da D3Lab

Sebbene a livello statistico vi sia stato un calo del phishing rilevato da D3Lab, si deve registrare tuttavia un persistere dell’ignoranza 

andamento phishing rilevato da D3Lab

 

degli utenti relativamente alla minaccia. La studio realizzato da Intel Security che ha evidenziato come il 93% degli internauti non sia in grado di riconoscere correttamente un tentativo di phishing palesa quelle che sono le possibilità dei criminali di colpire con efficacia.

 

Sebbene un calo del phishing vi sia stato ed in particolare in relazione all’internet banking, dove l’adozione di sistemi di autenticazione forte  hanno reso più complesso per i criminali sfruttare i dati carpiti, si è osservato un forte incremento degli attacchi miranti alla cattura dei dati di carta di credito. 

recupero credenziali

 

Il semestre appena conclusosi evidenzia come criminali si stiano sempre più orientando a colpire target non bancari, quanto piuttosto legati al mondo dei servizi per la massa, come evidenziato dai record recuperati a seguito di casi di phishing.

I criminali riservano particolare attenzione al mondo della telefonia mobile, dove le funzionalità di ricarica on-line si prestano particolarmente bene per le frodi. 

Nei mesi scorsi si è assistito ad una forte campagna a danno di TIM, realizzata con l’invio di SMS contenenti il link a pagine di phishing. Ora il medesimo gruppo criminale, autore già della lunga campagna a danno di TotalErg e precedentemente di Carrefour (entrambe via SMS), sembra stare postando la propria attenzione sugli utenti Vodafone.

Nei giorni scorsi si sono registrati già tre casi con pagine clone inserite nello spazio web di domini aventi nomi registrati ad hoc al fine potenziare la capacità di inganno, i cui link sono stati diffusi via sms:

  • vodafoneofferte.com
  • vodafoneclub.info (ancora attivo)
  • vodaonline.info(ancora attivo) 

 

pagina clone

 

Le pagine clone risultano raggiungibili anche da rete Vodafone.

All’epoca (dicembre 2013, gennaio 2014) della prima consistente campagna di phishing condotta a danno di Carrefour via sms,  D3Lab riuscì a restituire una puntuale e tempestiva informazione agli utenti grazie a numerosi commenti di segnalazione, pratica che sfortunatamente non ha avuto il medesimo successo in relazione alle campagne a danno di TotalErg e TIM.

Sebbene i social netowrk consentano una ampia diffusione delle informazioni, sfortunatamente la loro indicizzazione da parte dei motori di ricerca non risulta sempre efficace e parte delle informazioni non raggiungono la massa venendo confinate nei circoli chiusi di contatti o di specifiche aree tematiche a causa degli hashtag.

Al fine di permettere una tempestiva azione di contrasto da parte degli enti target si consiglia di segnalare link ed sms su pagine ed account ufficiali di società e servizi.

 

Update 24/07/2015 10:55:

domini usati dal 13/07/2015:

  • vodafoneofferte.com
  • vodafoneclub.info
  • vodaonline.info
  • vodaclub.info
  • vodashop.info
  • promozioneoffertainfinita.com
  • thepromo365.com
  • ultimataofferta365.com
  • vodashopestate.com

 

Update 30/07/2015 15:48:

domini usati:

  • windsuper.mobi 
  • vodafon.estate
  • vodafon.gratis

 

Update 17/09/2015 09:04:

domini usati:

  • ricarica-vodafone.ddnsking.com
  • vodafone-estate.ddnsking.com
  • vodafon.gratis
  • ricarica-vodafone.com
  • vodafoneclub.net
  • offerta-vdf-illimitata-promo.com
  • vodafonegratis.com
  • offertairripetibile-vdf.com
  • offerta-vdf-illimitata-promo.com
  • vodafoneclub.club
  • clientiprivatinuovapromoweb.com

 

Update 25/09/2015 11:02:

domini usati:

  • promozionevodafoneprivati.net
  • vodafoneclub.it
  • clientipromowebsvoda.com

 

Update 06/10/2015 14:43:

domini usati:

  • clientinuovapromo25voda.com
  • vodafoneclub.org
  • vodafoneclub.gratis
  • clientiprivatinew.com
  • clientinuovinewvoda.com
  • vodafone1.it
  • vodafoneclubnetwork.com
pagina web fraudolenta per catturare password secure code

Importante aggiornamento relativo ai casi di phishing TIM precedentemente trattati:

Lo scorso 29 Settembre avevamo pubblicato un post in cui evidenziavamo come per i phisher fosse possibile recuperare la frase segreta del Visa/Mastercard “secure code” (link).

I rilievi descritti nel post erano stati eseguiti proprio esaminando un tentativo di phishing ad opera dello stesso team criminale autore dei due casi descritti poc’anzi (link1 link2). L’esame svolto all’epoca evidenziò come la metodica di recupero della frase segreta fosse funzionante, ma non ancora implementata nel normale funzionamento del kit di phishing.

Poco fa eravamo impegnati nello svolgimento di ulteriori accertamenti finalizzati a comprendere il funzionamento dei kit. Questi test vengono svolti inserendo credenziali formalmente valide (nome, cognome, codice fiscali, numero di carta di credito valido secondo l’algoritmo di Luhn, cvv, ecc…) ma assolutamente inventate, o generate da script, come nel caso dei numeri di carta di credito.

In tal modo, anche se il caso ci portasse ad usare un numero di carta di credito realmente emessa, la combinazione di nome/cognome titolare, scadenza e cvv assolutamente casuali ne renderebbe l’uso fraudolento impossibile.

La sorpresa è giunta quando, inseriti i dati richiesti dalla pagina fraudolenta, è stata visualizzata una pagina web, con logo dell’ente emittente la carta di credito, in cui veniva richiesta la password del Visa/Mastercard secure code, ma …che riportava anche la “frase di benvenuto segreta” del “secure code”!

pagina web fraudolenta per catturare password secure code

 

Evidentemente si era verificato “il fato” ed il numero di carta usato per il test  (abbinato a restanti dati assolutamente casuali e per tanto inutilizzabile) apparteneva ad una carta di credito esistente e il kit creato dai criminali è stato in grado di recuperare la frase identificativa segreta del Visa/Mastercard secure code.

La metodica, come scritto a settembre 2014, era stata sviluppata dai criminali, ma non ancora implementata. Ora invece lo è, con tutto ciò che ne consegue.

sito fraudolento timestate.it

Gli accertamenti svolti nella prima mattinata hanno portato all’individuazione di un nuovo sito di phishing a danno di utenti TIM.

Partendo dall’url hxxp://timestate.it si visualizza la pagina clone, riprodotta nell’immagine sottostante, pubblicata via HTTPS attraverso serversicuro.it.

La visualizzazione del clone partendo dall’url base del sito/dominio timestate.it lascia ipotizzare l’uso dell’url direttamente in sms di attacco.

D3Lab ha trattato questi recenti attacchi sul blog in quanto presentano caratteristiche innovative in relazione al target colpito, nella fattispecie TIM. Non si proseguirà con ulteriori segnalazioni a meno che non presentino differenze di rilievo.

Si auspica che, come avvenuto in altri casi, la comunità web voglia lasciare traccia nei commenti a questi post dei nuovi url fraudolenti, nonché dei numeri di telefonia da cui potrebbero partire eventuali sms fraudolenti, affinché altri utenti possano individuare la minaccia ed evitarla.

 

sito fraudolento timestate.it

 

Update 23/04/2015 h. 22:47:

domini già impiegati:

  • timpiu.gratis
  • timspecial.it
  • timgratis.it
  • timestate.it
  • timonlinepiu.com

 

Update 08/05/2015 h. 14:02:

domini già impiegati:

  • timgratis.it
  • timofferta.com
  • tim75euro.gratis
  • timestate.net
  • timtutti.it
  • timxtutti.it
  • timnoitutti.it

 

Update 18/05/2015 h. 16:12:

domini già impiegati:

  • timsmart.it

 

Update 03/06/2015 h 17.05:

domini già impiegati:

  • timstart.it
  • timtuttipiu.it
  • timpernoi.it

 

Update 11/06/2015 h 11.38:

domini già impiegati

  • timextra.it
  • timsuper.it (in uso)
mail fraudolenta

Ciò che nel panorama criminali ha dell’incredibile è la perseveranza e costanza di alcuni team criminali.

Il tentativo di phishing a danno degli utenti TIM di cui raccontiamo oggi, tristemente eseguito con successo, è stato messo in atto da un gruppo criminale attivo sin dal 2012, che nel tempo ha affinato i propri template e le proprie modalità operative, mantenendo tuttavia alcune caratteristiche costanti nel tempo. Nel suo “portfoglio” target il team criminale può annoverare Eni/Agip, Carrefour, Total Erg, ma la sua azione è in realtà stata molto più ampia, spesso incisiva, intensa e di “successo”.

 Venerdì 17 Aprile si è individuato un messaggio di posta fraudolento, partito da un host OVH britannico, presenta le seguenti caratteristiche:

mail fraudolenta

 

From: “TIM PROMOTIONALS” <[email protected]>

Oggetto: resta connesso con noi 128101696

Corpo del messaggio (in base64):

Salve [email protected]

Benvenuto in Special Day ricarica e vinci. Se ricarichi il tuo telefonino TIM di 25€ entro oggi, ne avrai in omaggio altri 25 al mese per 3 mesi, per un totale di 75€ erogati. Visita ora la pagina dedicata all’offerta attraverso il link sottostante ed afferra al volo la promozione prima che finisca!

Aderisci ora!

 

Il link celato sotto “Aderisci ora!” portava ad uno short url del servizio bit.do che redirigeva su pagine clone inserite nel dominio timonlinepiu.com, creato ad hoc con nome attinente al target, in hosting presso Register.it.

La home page del sito/dominio presenta la pagina di default dell’hoster, mente il clone viene individuato in sub-directory con nome che viene variato nel tempo dai criminali, risultando comunque sempre raggiungibile caricando l’url 

hxxps://timonlinepiucom.serversicuro.it/tim/  (url malevolo)

La struttura del kit prevede un azione di filtro sugli indirizzi ip, affincheé solo i visitatori facenti uso di ip italiano visualizzino il clone.

pagina clone

 

Le pagine sono pubblicate in HTTPS attraverso serversicuro.it.

Nella giornata di sabato 18 Aprile lo short url risultava essere stato disabilitato, vi sono tuttavia evidenze che le pagine clone hanno continuato a ricevere visite, mietendo vittime, il che lascia presumere l’invio di ulteriori mail di attacco. 

E’ ipotizzabile che nei prossimi giorni/settimane gli attacchi inizino ad essere veicolati via sms come avvenuto in passato per Carrefour e TotalErg.

TIM è stata notiziata lo stesso venerdì 17.

console di monitoraggio del phisher

Da tempo si ritiene che l’utilizzo di dispositivi OTP (one time password) sia riuscito a minare le possibilità dei cyber criminali intenzionati ad accedere ai conti correnti degli utenti da cui movimentare i soldi attraverso bonifici, ricariche telefoniche, pagamenti su conti correnti postali, ecc..
E’ innegabile che negli ultimi anni vi sia stato un forte calo dei tentativi di frode di questo tipo, a favore di attacchi di phishing finalizzati a carpire i dati di carta di credito, la cui richiesta può essere inserita in contesti meno allarmanti/sospetti (ricariche telefoniche, acquisto carte ricaricabili, ecc…).

Tuttavia gli attacchi di phishing all’internet banking non sono affatto superati ed hanno anzi visto alcuni gruppi criminali specializzarsi in essi adottando metodiche di interazione diretta con l’utente che consentono loro di sfruttare in tempo reale il token OTP generato dall’utente o dallo stesso ricevuto via sms.

Nel novembre scorso  l’‘attività di analisi di un tentativo di frode a danno di un istituto bancario di livello nazionale ha permesso a D3Lab di recuperare il kit di phishing, l’insieme di file usati dal criminale per proporre in internet le proprie pagine fraudolente, il cui esame ha evidenziato la presenza di un pannello di controllo in stile bot-net.

pannello di controllo del cyber criminale

Mantenendo questo pannello aperto sul proprio browser il cyber criminale riceveva un segnale sonoro ogni qualvolta un utente inserisse le proprie credenziali, avendo così modo di intervenire in tempo reale, sfruttando i diversi token otp richiesti dalle pagine di phishing nel breve lasso di tempo della loro validità e riuscendo in tal modo ad ordinare bonifici e pagamenti.

L’analisi del kit, realizzato in php, denotò la sua estremamente funzionalità, sebbene non presentasse una realizzazione particolarmente complessa e non facesse uso di data base, caratteristica che lo rende facilmente installabile all’interno dei siti violati usualmente usati dai phisher.

Nell’ultimo bimestre 2014 questa tipologia di kit è stato individuato in attacchi di phishing a danno di due istituti bancari nazionali e di una grande gruppo bancario che raccoglie oltre una decina di istituti con diffusione su tutto il territorio nazionale.

L’analisi dei file costituenti il kit recuperato e delle pagine web che le sue varianti propone ha fornito elementi che lasciano ipotizzare una sua origine est-europea. Non è al momento dato sapere se questi kit siano in uso agli stessi soggetti che li hanno realizzati o se siano acquistabili sul mercato criminale e ad operare possano essere soggetti italiani. Ciò che è certo è che chi opera lo fa con estrema rapidità, riuscendo in pochi secondi ad ordinare e autorizzare pagamenti per svariate migliaia di euro.

I tentativi di frode individuati erano attacchi di phishing tradizionale, veicolati attraverso le usuali mail fraudolente, senza che venisse fatto alcun uso di codici malevoli, evidenziando ancora una volta le notevoli potenzialità di questa tipologia di attacchi.

comunicato stampa TotalErg

Durante la notte abbiamo svolto alcune ricerche in rete in relazione all’attacco di phishing a danno di Total Erg rilevato nella serata di ieri 27 Novembre 2014, da cui è emersa l’esistenza di casi precedenti verificatisi già a fine ottobre.

Fabio Natalucci descrive in un articolo estremamente ben fatto, “Analisi di un caso di Phishing: SMS TotalErg acquisto buoni carburante“, un caso verificatosi nella seconda metà di ottobre, periodo al quale risale anche il comunicato stampa TotalErg “TotalErg nel mirino delle truffe online“.

comunicato stampa TotalErg

 

Sembrerebbe tuttavia che la campagna di phishing sia in realtà stata avviata ben prima, come suggerirebbero indicare le date rilevate nei tag aggiunti dal programma di copia usato per clonare il sito TotalErg.

 

D3Lab opera prevalentemente in ambito phishing, inserita da tempo in un network di professionisti della sicurezza informatica e dell’analisi forense, diversi dei quali collaborano come segnalatori riportando i casi rilevati con tempestività. Nonostante ciò la campagna di attacco, attiva ormai da molte settimane è stata rilevata solo ieri sera. L’utilizzo degli SMS quali veicolo dell’attacco permette ai criminali di far passare l’aggressione molto sotto traccia.

Al momento l’articolo da più parti linkato rimane quello di Natalucci. Questo evidenzia come gli attacchi sarebbero totalmente passati sotto silenzio se uno di questi casi non fosse stato riportato ad un esperto della sicurezza ICT, che rilevandone la peculiarità e pericolosità lo ha analizzato e descritto.

TotalErg, da parte sua, ha evidenziato alla clientela l’esistenza della minaccia, cogliendo il doppio risultato di tutelare i clienti con un giusto avviso e, importantissimo, di innescare con gli stessi un’interazione, come mostrato nell’immagine sottostante,  utile a tracciare il nascere di nuovi siti cloni e l’identificazione dei numeri di telefonia mobile da cui gli SMS vengono inviati.

 

post su pagina Facebbok TotalErg

 

Come per altre campagne di phishing condotte via SMS invitiamo i lettori a trasmetterci attraverso i commenti a questo articolo informazioni relative a:

  • sito web indicato nell’sms;
  • numero di telefono mittente.

Tali informazioni, una volta validate dall’amministratore del blog, diverranno pubbliche consentendo a chi deputato al contrasto ed alla’azione investigativa di seguire l’evolversi della campagna di phishing.

D3Lab ringrazia per la collaborazione.

pagina fraudolenta

Il monitoraggio svolto da D3Lab nel trimestre da poco conclusosi ha fornito dati allarmanti, evidenzianti una forte recrudescenza del phishing in ambito italiano, con i criminali che rivolgono l’attenzione ad enti target mai colpiti, o da tempo ignorati, e con caratteristiche comuni ai diversi attacchi indicanti come ad operare siano alcuni gruppi dinamici ed agguerriti.

Il monitoraggio odierno ha portato all’identificazione di un tentativo di phishing a danno dei clienti di una specifica Banca di Credito Coperativo, nello specifico la BCC Romagna Occidentale.

 La scelta dei criminali di colpire una banca specifico rappresenta una novità. In passato le Banche di Credito Cooperativo sono già state all’attenzione dei criminali che per colpirne gli utenti realizzavano phishing generici, traendo vantaggio dall’utilizzo di una template grafico comune a più istituti.

Nel trimestre appena terminato i criminali hanno condotto diversi attacchi di phishing volti a colpire gli utilizzatori delle carte di credito emesse da BCC e l’attacco odierno si differenzia anche in questo, mirando invece ad acquisire l’accesso all’home banking.

La prima pagina clone riprodotta nell’immagine sottostante e posizionata in un web server britannico, si presenta identica alla

pagina fraudolenta

pagina di login del legittimo portale di home banking della BCC Romagna Occidentale, riprodotta nell’immagine sottostante.

pagina legittima

Nel caso odierno i criminali hanno reso raggiungibile la pagina abilitando il wildcard sui domini di terzo livello del dominio saaspoint.com, all’interno del cui sito si trova, a tutti gli effetti, la pagina clone. Tale metodica consente loro di creare url univoci per ogni visitatore, vanificando le funzionalità di black list dei browser.

Effettuato il primo login il visitatore approda su una seconda pagina nella quale gli vengono chiesti due codici generati dal token OTP.

seconda pagina clone

Al termine di questo secondo passaggio l’utente viene condotto sul legittimo sito di simplybank.it, lapiattaforma di home banking in uso alla BCC Romagna Occidentale. Il criminale ha tuttavia reindirizzato l’utente sulla porta 443, dove viene visualizzata solo una pagina bianca.

La grafica della seconda pagina, dove vengono chiesti i pin otp, è comune ai recenti attacchi portati dai criminali alla piattaforma di home banking InBank, della Phoenix Informatica Bancaria, e nei confronti di Monte Paschi di Siena. Tali attacchi si contraddistinguevano da altri per l’iniziale uso di un allegato html alla mail fraudolenta, per passare poi alla visualizzazione di pagine on-line.

Nel caso odierno D3Lab non è in possesso della mail di phishing, ma la strutturazione dell’attacco non farebbe pensare all’uso di allagati. Chi ricevesse la mail di attacco a BCC Romagna Occidentale,  o a SimplyBank Web, ci farebbe cosa gradita se ce ne inviasse una copia ([email protected])