Nella analisi odierna del Phishing e relativo contrasto abbiamo identificato una campagna di Phishing ai danni di Saman Bank con l’invio delle credenziali carpite tramite Telegram.
Usualmente i Phisher si inviano le informazioni carpite a mezzo eMail, tramite dei Command and Control o più raramente mediante IRC.
In questo kit di Phishing invece il Phisher sfrutta le API di Telegram per inviarsi le credenziali attraverso un Bot, abbiamo potuto analizzare il kit di phishing poiché è stato dimenticato in formato compresso sul sito web compromesso.
Nell’immagine precedente potete vedere parte del codice del kit in cui viene richiamata la funzione Telegram per poter inviare le informazioni carpite tramite le API.
Il kit conteneva anche la configurazione del BOT permettendoci di identificare il Nick del Bot e del Phisher; i messaggi vengono inviati tramite messaggi privati e non condivise in un canale o gruppo.
Di seguito trovate un esempio dei dati che vengono forniti al Phisher mediante il bot:
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/08/Phishing_SamanBank_Telegram_2.png?fit=1072%2C610&ssl=16101072Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-08-31 11:30:232018-09-01 11:07:59Il Phisher invia le credenziali delle vittime tramite Telegram
Nella nostra Spam Trap nel week end appena passato abbiamo ricevuto una eMail con mittente “Amazon.it” e oggetto “Per favore rivedi il tuo caso 1989…”, dati gli evidenti errori nel corpo dell’eMail abbiamo inizialmente pensato ad una nuova campagna di Phishing finché non siamo arrivati al collegamento ipertestuale che riporta “https://www.amazon.it/…” come potete notare dal seguente screenshot del codice sorgente.
Una eMail con evidenti errori di battitura ma con un solo collegamento al dominio ufficiale di Amazon. È phishing o è legittima?! 🤔
Ecco questa è stato il nostro dubbio iniziale, poi è bastata analizzarla per capire che si trattava realmente di una eMail di Phishing veicolata attraverso il dominio ufficiale amazon.it!
I Phisher hanno sfruttato il servizio di Amazon Cloud Drive per diffondere un file HTML (amazon (2018-08-24T12_28_44.664).html), la vittima è invitata a scaricare tale file e successivamente ad aprirlo. Aprendo tale file con il Browser vedremo la pagina di Phishing che verrà caricata sfruttando risorse esterne ospitate su un dominio compromesso (366-news[.]com).
La vittima visualizzerà inizialmente una lettera in cui viene dettagliato il problema del pagamento nell’ultimo ordine e la procedura da effettuare per completare il pagamento, successivamente verranno richieste le credenziali Amazon, i dati della carta di credito ed infine una foto del proprio documento, un selfie e una foto della carte di credito.
Come di consueto invitiamo sempre gli utenti a prestare la massima attenzione.
Nella quotidiana attività di monitoraggio dei Social Network effettuata per individuare le segnalazioni da parte di utenti della comunità di eMail o SMS di Phishing abbiamo rilevato un crescente numero di utenti che lamentava di essere stati truffati tramite Facebook a seguito di un contatto con la pagina ufficiale Postepay di Poste Italiane.
A quanto si è potuto appurare le vittime contattano la pagina certificata Postepay tramite l’invio di un messaggio pubblico, usualmente per chiedere supporto o per segnalare eventuali malfunzionamenti dei servizi da loro sottoscritti. Il social care ufficiale di Poste Italiane provvede a rispondere all’utente pubblicamente e nel caso vi fosse la necessità di effettuare ulteriori verifiche lo inviata ad inviare un messaggio privato alla pagina ufficiale contente il codice fiscale e il numero di cellulare. Il truffatore rilevando il messaggio pubblico dell’utente e la relativa risposta ufficiale del social care anticipa l’utente inviandogli un messaggio privato tramite un falso profilo Facebook simulando un vero operatore del servizio clienti. Il falso profilo invia inizialmente un messaggio alla vittima identificandosi tramite un nominativo ed un codice operatore e chiederà alla vittima come può essere utile per la risoluzione del problema. Instaurata la comunicazione il truffatore procede a richiedere il codice fiscale alla vittima, tramite tale dato è possibile determinare se la vittima è registrata o meno sul portale online di Poste Italiane. Qualora l’utente sia già registrato al portale online il truffatore procede a richiedere ulteriori dettagli alla vittima fingendosi interessato a risolvere il reale problema, realmente l’intento è quello di circuire il cliente di Poste Italiane al fine di eseguire addebiti illeciti sulla sua carta di credito prepagata con la complicità dello stesso cliente ignaro della truffa.
Qualora l’utente non sia registrato, il truffatore procederà alla registrazione sul portale di Poste Italiane assieme alla vittima al fine di associare la carta prepagata al nuovo profilo ed eseguire la procedura già descritta nel precedente punto.
Il truffatore è in grado di identificare se la vittima è registrata o meno al portale di Poste Italiane sfruttando la funzione di recupero credenziali, infatti il portale online riporta chiaramente se il codice fiscale è associato ad un cliente o meno.
Abbiamo dato evidenza della nostra analisi a Poste Italiane la quale ci informa che il Computer Emergency Response Team del Gruppo Poste Italiane è a conoscenza del fenomeno e lo sta contrastando con tutti i mezzi a sua disposizione. Il servizio di Brand Protection fa monitoraggio dei canali social per verificare che non vi siano usi impropri dei marchi Poste Italiane. Una volta identificati profili che utilizzano il marchio impropriamente, fa richiesta al canale social per il blocco del profilo stesso. Purtroppo i profili vengono spesso chiusi e aperti in diversi momenti, creando difficoltà nella identificazione e segnalazione. Si fa presente che Poste Italiane ha già informato i propri clienti riguardo tale fenomeno fraudolento, attraverso i canali di comunicazione a sua disposizione.
Simulazione
Al fine di rilevare complessivamente la procedura seguita dai truffatori abbiamo simulato tramite un profilo Facebook la necessità di ricevere supporto dalla pagina Postepay di Poste Italiane. Il 22 Giugno abbiamo inviato il seguente messaggio per richiede al social care su una ipotetica impossibilità di eseguire un pagamento su un noto sito di e-commerce.
Dopo alcuni minuti il profilo “Valentina Minni” con foto profilo ritraente un logo di Poste Italiane provvede a richiederci l’amicizia. Link profilo: https://www.facebook.com/valentina.minni.3939 (copia http://archive.is/omi58)
Il falso profilo di Valentina Minni inizia successivamente a scriverci tramite Facebook Messanger, presentandosi inizialmente con un falso codice operatore e ci chiede come può aiutarci. Spiegata la nostra, falsa, problematica riguardante l’impossibilità di effettuare un pagamento causa blocco del 3D Secure il falso operatore ci avvisa che tale servizio va attivato e ci invita ad indicargli il nostro codice fiscale.
Fornendogli un Codice Fiscale generato in maniera casuale ma attinente al nome del profilo Facebook, il truffatore ci avvisa che non siamo registrati sul sito di Poste Italiane e ci invita ad effettuare la registrazione assieme a lui al fine di attivare il 3D Secure.
Come scusa abbiamo indicato che la carta prepagata era intestata alla moglie della probabile vittima e che normalmente venivano sfruttate le credenziali della signora per eseguire il login al portale di Poste.
Dopo alcuni secondi dall’ultimo messaggio il profilo Facebook del truffatore è stato sospeso, probabilmente a seguito della segnalazione di un’altra probabile vittima.
Il truffatore non si da per vinto e dopo pochi minuti veniamo contattati nuovamente da un secondo profilo, sempre denominato Valentina Minni ma avente un ID Facebook differente.
Link profilo: https://www.facebook.com/valentina.minni.376 (copia http://archive.is/BRniX)
Abbiamo messo noi ora in atto una tecnica di ingegneria sociale per poter carpire maggiori dettagli del truffatore. Con la scusa di avere i documenti della moglie su DropBox abbiamo condiviso un link al truffatore, enfatizzando la comunicazione con messaggi di vita quotidiana della vittima completamente insignificanti nella risoluzione della problematica.
Il link riportato nella realtà non portava ad alcun documento DropBox ma ad una pagina inesistente sul portale di file sharing, passando però da una pagina intermedia che aveva il compito di carpire alcuni dettagli del truffatore.
Nello specifico abbiamo potuto stabilire l’User Agent del truffatore e il suo indirizzo IP. Il primo dato ci mostra che sfrutta un computer con Microsoft Windows, presumibilmente Windows 7, e il browser Google Chrome, mentre il suo indirizzo era 151.57.29.28.
Tale indirizzo IP risulta essere Italiano e un sevizio di geolocalizzazione lo identifica nelle vicinanze di Napoli.
Questa indicazione, che potrebbe essere certamente falsificata tramite l’uso di Proxy, VPN o rete TOR, convalida un altro sospetto che avevamo fin dall’inizio, ovvero che il truffatore parla un Italiano perfetto, conosce anche la forma di cortesia è l’uso dei pronomi Lei usualmente sconosciuta o di difficile apprendimento per una persona straniera.
Successivamente abbiamo continuato la conversazione, poiché totalmente ignari dell’operazione di tracciatura da noi svolta, scusandoci per non essere riusciti a inviargli i documenti e rimandando la conversazione non appena la finta moglie sarebbe rientrata dal lavoro.
I truffatori hanno poi sottolineato l’importanza della presenza della signora e del suo cellulare poiché fondamentale per concludere l’operazione di attivazione del servizio, ovvero fondamentale per poter ricevere il codice OTP di disposizione di una ricarica postepay.
Concludiamo invitando gli utenti a prestare massima attenzione e di verificare di essere in contatto con la pagina ufficiale di Poste Italiane, sfruttando la funzionalità del badge di verifica offerta da Facebook.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2018/07/Phishing-Hook.png?fit=1200%2C667&ssl=16671200Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-07-16 09:53:522018-07-16 10:00:36Phishing tramite falso Social Care ai danni degli utenti Postepay
Lo scorso Marzo vi parlammo di una crescente campagna di Phishing ai danni del portale webmail di Virgilio, trascorsi tre mesi dalla prima segnalazione confermiamo il trend e l’uso costante di dominii creati ad hoc per ingannare l’utente.
Il grafico precedente mostra le segnalazioni rilevate da settembre 2017 fino al 12 Giugno 2018, la linea di tendenza infine ci permette di confermare il trend in crescita.
L’attacco di Phishing ha esclusivamente il compito di carpire l’username e la password della webmail, dati importanti perché permettono ad un attaccante di:
Sfruttare l’account email della vittima per inviare spam, phishing e/o malware;
Leggere eventuali conversazioni confidenziali.
Quest’ultima possibilità non rappresenta un rischio solo per la privacy, ma anche per le finanze delle vittime! Poter individuare il personale della filiale di banca con il quale la vittima interloquisce permette ai criminali di scrivere loro da un indirizzo email noto, simulando la necessità di contante a causa di un imprevisto occorso durante un viaggio all’estero, oppure se la vittima ha una propria attività e la mailbox è usata per lo scambio di documenti lavorativi, potrebbe permettere ai criminali di individuare una fattura inviata ad un cliente che, editata con le coordinate bancarie di un conto corrente nella disponibilità dei truffatori, potrebbe causare il dirottamento del pagamento.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/03/Phishing_VirgilioMail.png?fit=1072%2C797&ssl=17971072Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-06-14 16:19:462018-06-14 16:19:46Virgilio Mail: si conferma un obiettivo per i Phisher
Lo scorso week end abbiamo rilevato la prima attività di Phishing ai danni di ENI Gas e Luce del 2018, l’attacco è stato diffuso tramite una eMail che prometteva un falso rimborso di 41,30euro a favore della vittima. Tale modalità è spesso usata per attività di Phishing ai danni di enti Energetici o Telefonici, la vittima attratta da questo rimborso viene invitata a compilare un modulo online con i dati della propria carta di credito, carta che verrà sfruttata per effettuare addebiti illeciti.
Il gruppo Eni non è certamente un nuovo target per i Phisher, nel 2012 rilevammo un dominio creato Ad-Hoc per fare phishing a loro danno. Pratica ad oggi molto consolidata ma raramente usata prima del 2015 in ambito Italiano.
Come sempre vi ricordiamo di fare massima attenzione alle eMail che ricevete ed evitare di fornire i dati della propria carta di credito a terzi.
https://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.png00Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-06-12 14:57:252018-06-12 14:57:25Phishing ai danni di Eni Gas e Luce
Virgilio Mail è la piattaforma di WebMail offerta gratuitamente da Italiaonline S.p.A. ampiamente sfruttata da diversi utenti Italiani, i primi attacchi di Phishing a loro danno li abbiamo rilevati nel 2017 come vi abbiamo mostrato lo scorso settembre. Nel primo trimestre del 2018 abbiamo rilevato un trend decisamente in crescita a conferma che Virgilio è un target apprezzato dai Phisher.
Dal 1 Gennaio 2018 ad oggi abbiamo rilevato 13 nuove segnalazioni di Phishing nove di esse sfruttano domini appositamente creati per ingannare l’utente, ovvero:
virgilio-387246834310[.]com
virgilio-387246834312[.]com
virgilio-387246834313[.]com
virgilio-387246834314[.]com
virgilio-387246834315[.]com
virgilio34985794[.]com
virgilio34985795[.]com
virgilio34985796[.]com
virgilio34985798[.]com
La rilevazione di queste segnalazioni di Phishing è stata possibile grazie all’attività di Brand Monitor che svolgiamo per monitorare la registrazioni di nuovi dominii eventualmente sfruttabili per attività illecite come il Phishing, la diffusione di Malware, lo spear phishing e le frodi attraverso vendita o acquisto di servizi e prodotti.
L’intento del Phisher nelle segnalazioni ad oggi rilevate è di carpire le credenziali della eMail dell’utente. Invitiamo pertanto gli utenti a fare massima attenzione e controllare il sito web che si visita.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/03/Phishing_VirgilioMail.png?fit=1072%2C797&ssl=17971072Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-03-28 15:01:202018-03-28 15:01:20Phishing ai danni di Virgilio tramite dominii Ad hoc
Subito.it è probabilmente il principale sito di compravendita tra privati in Italia, dall’analisi dei nuovi dominii registrati (Brand Monitor) che quotidianamente eseguiamo per contrastare e analizzare il Phishing ieri 1 Marzo 2018 abbiamo rilevato la registrazione di un dominio sospetto.
Monitorando costantemente il contenuto di tale dominio, inizialmente irraggiungibile, abbiamo individuato nella tarda serata di ieri sera la presenza di un kit di Phishing ai danni di Subito.it. La pagina fraudolenta, che vedete nello screenshot iniziale, richiede alla vittima le proprie credenziali (eMail e password) per accedere al portale di compravendita, digitate le quali l’utente viene poi indirizzato al sito ufficiale.
Subito.it ha da alcuni mesi introdotto la possibilità di visualizzare la storicità di un venditore, mostrando da quanto tempo è registrato e quanti annunci ha pubblicato, per prevenire le frodi sul portale e dare maggiore fiducia ad un possibile acquirente.
Il Phisher impossessandosi delle credenziali di un venditore storico potrebbe modificare gli annunci esistenti o crearne di nuovi e attuare una truffa verso possibili acquirenti, avvalendosi della fiducia che il compratore ha nei confronti di venditori con una ampia storicità di vendite.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2018/03/Phishing_Subito.png?fit=1278%2C927&ssl=19271278Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-03-02 09:59:202018-03-02 09:59:20Phishing ai danni di Subito.it
D3Lab opera da diversi anni nell’analisi e nel contrasto del Phishing ai danni dei principali Istituti Bancari Italiani o Big Corporate, negli ultimi anni si è però maggiormente affermato il fenomeno dello Spear Phishing con una crescita nel 2017 di oltre il 1000% come sottolinea il ClusIT.
Spear Phishing: Indica un tipo particolare di phishing realizzato mediante l’invio di Email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è tipicamente quello di ottenere accesso ad informazioni riservate di tipo finanziario, a segreti industriali, di stato o militari. {CERT Nazionale}.
I phisher che adottano questa tecnica hanno una profonda conoscenza delle vittime e realizzano campagne di Phishing Ad hoc su servizi o applicazioni che la vittima usa quotidianamente.
Dalle immagini sovrastanti si può notare una campagna di Spear Phishing eseguita ai danni di una multinazionale che sfrutta per l’appunto i servizi di Microsoft Office 360 e DropBox, alcuni dipententi hanno ricevuto una eMail con un documento HTML allegato. Aprendo tale documento viene richiesta la conferma delle credenziali per accedere ai sopracitati servizi. Il phisher ha l’obiettivo di ottenere le credenziali degli utenti per poter accedere alle loro caselle mail e proseguire le attività illecite richiedendo per esempio bonifici bancari o eseguendo ordini verso altre società.
Il Team di D3Lab è intervenuto contrastando di questo fenomeno ottenendo la disabilitazione dei server Brasiliani e Australiani a cui venivano inviate le credenziali.
Carrefour Banca, succursale di Carrefour Banque in Italia, è un istituto di credito Italiano che subisce attività di Phishing dal 2013 con un andamento statistico non lineare. Nel 2013 rilevammo complessivamente dodici segnalazioni, nel 2014 undici segnalazioni, nel 2015 non abbiamo rilevato alcun attacco, infine nel 2016 e nel 2017 un solo attacco.
Per il 2018 invece stiamo rilevando un trend in crescita che porterebbe gli attacchi di Phishing nel 2018 superiori a quelli del 2013. Infatti nei primi 45 giorni del 2018 abbiamo già rilevato 3 attacchi di Phishing.
Attacchi di Phishing a danno di Carrefour Banca
L’utente viene invitato a confermare le proprie credenziali di accesso al Home Banking e successivamente a compilare le informazioni della propria carta di credito.
Infine viene richiesto l’inserimento del codice OTP ricevuto dalla vittima sul proprio cellulare per autorizzare l’addebito sulla carta di credito.
L’ultimo attacco di Phishing rilevato il 14 Febbraio coinvolge due distinti dominii web compromessi e sfrutta, per vanificare l’immediata efficacia delle BlackList, la generazione di directory casuali così che ogni visitatore visualizzi un URL diverso dai precedenti.
Come sempre invitiamo gli utenti a prestare la massima attenzione alle comunicazione via SMS o eMail che ricevono.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2018/02/CarrefourBanca_Phishing_02.png?fit=1503%2C812&ssl=18121503Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-02-19 09:56:492018-02-19 10:13:42Phishing ai danni di Carrefour Banca
Potremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Cookie essenziali del sito Web
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per la consegna del sito web, il loro rifiuto avrà un impatto sul funzionamento del nostro sito web. È sempre possibile bloccare o cancellare i cookie modificando le impostazioni del browser e forzare il blocco di tutti i cookie su questo sito web. Ma questo vi chiederà sempre di accettare/rifiutare i cookie quando visitate il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Altri servizi esterni
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
Nella analisi odierna del Phishing e relativo contrasto abbiamo identificato una campagna di Phishing ai danni di Saman Bank con l’invio delle credenziali carpite tramite Telegram.
Nell’immagine precedente potete vedere parte del codice del kit in cui viene richiamata la funzione Telegram per poter inviare le informazioni carpite tramite le API.
