Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nella giornata del 1 Marzo la creazione di un nuovo dominio Ad HoC contenente un sito di Phishing ai danni de La Cassa di Ravenna.

Il gruppo bancario La Cassa di Ravenna, composto da Banca di Imola, Banco di Lucca e del Tirreno, ItalCredi, Sifin e Sorit, nasce nel 1840 ed ha sede a Ravenna in Emilia Romagna.

La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc e presumibilmente veicolata tramite messaggi di testo (smishing) ha come intento quello di carpire le informazioni di accesso all’home banking e un numero telefonico della vittima.

Continua a leggere

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato un nuovo dominio creato Ad Hoc in data 25 Febbraio che ha come intento quello di carpire documenti di identità delle vittime a fronte di una verifica della certificazione verde COVID-19!

L’utente viene quindi invitato a visitare il sito web malevolo per convalidare il suo Green Pass e vengono richieste alla vittima le seguenti informazioni:

  • Nome e Cognome
  • Documenti di Identità
  • Selfie
  • Tessera Sanitaria

Tali dati è probabile che vengano sfruttati dai criminali per effettuare un furto d’identità e aprire conti correnti, finanziamenti o portafogli di criptovalute a nome della vittima e predisponendo tramite tali risorse illecite attività finanziarie.

Continua a leggere

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nuovo dominio creato Ad Hoc in data 20 Dicembre che riproduce il portale eCovid SINFONIA della Regione Campania per l’emergenza Covid19.

Il portale e-Covind SINFONIA, sviluppato da So.Re.Sa., permette ai cittadini della Regione Campania di accedere alle seguenti funzioni:

  • Certificato delle vaccinazioni Covid-19, anche con dosi addizionali/booster;
  • Prenotazione Open Day;
  • Esiti dei tamponi antigenici, molecolari, rapidi e sierologici;
  • Comunicazione dei codici NRFE, CUN, NUCG;
  • Notifiche push in tempo reale;
  • Monitoraggio dello stato di salute e comunicazione al proprio medico di base;
  • Estendere le funzionalità al proprio nucleo familiare;
  • Accesso certificato tramite SPID e/o biometrico in massima sicurezza.
Continua a leggere

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato nella giornata del 26 Ottobre la creazione di un nuovo dominio Ad HoC contenente un sito di Phishing ai danni della Banca Cambiano.

La Banca Cambiano 1884 S.p.A. è una banca italiana fondata il 20 aprile 1884 ed è stata la più antica banca di credito cooperativo operante in Italia, si aggiunge pertanto questa realtà Italiana ai tanti istituti di credito colpiti negli ultimi due anni al Phishing; come infatti abbiamo avuto occasione di trattare nel nostro blog dalla fine del 2019 le campagne di phishing ai danni degli istituti di credito italiani hanno subito un esponenziale incremento, oltre il 100%, e anche la ricerca da parte dei criminali di nuove banche da aggredire.

La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc e presumibilmente veicolata tramite messaggi di testo (smishing) ha come intento quello di carpire le informazioni di accesso all’home banking e un numero telefonico della vittima.

Continua a leggere

D3Lab nella quotidiana attività di analisi e contrasto del phishing ha identificato a partire dallo scorso 9 Agosto una campagna di phishing ai danni dei clienti della Banca 5.

Banca 5 fa parte del gruppo Intesa Sanpaolo dal 2016 e vuole fornire tramite una vasta rete di tabaccai un servizio bancario alla clientela poco “bancarizzata”.

La campagna diffusa tramite la probabile compromissione di un dominio e la relativa creazione di un sottodominioio Ad Hoc è presumibilmente veicolata tramite messaggi di testo (smishing) ha come intento quello di carpire le informazioni di accesso al home banking (UserID e Password) e un numero telefonico della vittima.

Continua a leggere

D3Lab nella quotidiana attività di analisi e contrasto del phishing ha identificato in data odierna un nuovo sito di phishing ai danni dei clienti della Banca di Cividale, CiviBank.

La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc e presumibilmente veicolata tramite messaggi di testo (smishing) ha come intento quello di carpire le informazioni di accesso al home banking e un numero telefonico della vittima.

Continua a leggere

Dall’inizio dell’anno, come aveva riportato il Cert-AGID, è in corso una campagna di phishing che sfrutta il nome dell’agenzia delle dogane per richiedere alle probabili vittime il pagamento di un dazio doganale per consentire la corretta consegna di un pacco.

L’email scritta in un italiano piuttosto corretto fa riferimento a finte normative doganali e invitano l’utente ad acquistare mediante Paysafecard o venditori terzi affiliati un ticket/buono del valori di 50, 75 o 100euro. Tale buono dovrà poi essere inviato a mezzo email ad una designato indirizzo del truffatore, indirizzo opportunamente mascherato con un mail-link all’indirizzo conferma-colis@adm.gov.it.

Questo indirizzo e-mail (conferma-colis@adm.gov.it) sembrerebbe, a prima vista, appartenere all’Agenzia delle Dogane, ma il vero indirizzo usato nel link mailto è differente e cambia regolarmente nel corso degli ultimi mesi, nello screenshot riportato si può vedere dalla barra inferiore che è servizio.clienti@post[.]com.

In Francia già da Settembre 2020 risulta essere attiva una analoga campagna di phishing ai danni della Dogana Francese (Douane Française).

Invitiamo pertanto gli utenti a prestare attenzione e di non acquistare buoni Paysafecard per pagare dazi doganali, i dazi doganali non si pagano usualmente mediante buoni/ticket.

Fideuram – Intesa Sanpaolo Private Banking S.p.A., spesso abbreviata semplicemente in Fideuram, è un istituto bancario italiano appartenente al Gruppo Intesa Sanpaolo gestita coi principi del private banking.

Fideuram è soggetta ad attacchi di phishing che riprendono il loro logo e l’interfaccia del homebanking dal 2020, nel week end appena passato abbiamo identificato una nuova campagna a loro danno veicolata tramite dominio creato Ad Hoc.

Questo nuovo clone ha la particolarità, a differenza delle precedenti segnalazioni, di essere visibile esclusivamente da una risoluzione mobile. Ovvero la risoluzione dello schermo di uno smartphone, usualmente i criminale effettuano verifiche sull’user agent mentre in questa segnalazione viene correttamente mostrato il clone se si ha una risoluzione inferiore ai 1024×768.

Continua a leggere

Il Phishing ai danni di utenti italiani è notevolmente aumentato dal 2019 ad oggi con un cambiamento di rotta significato nelle informazioni richieste alle vittime e dalle tecniche sfruttate dai criminali per divulgare e frodare le vittime. Per diversi anni l’interesse dei criminali era focalizzato principalmente sulle carte di credito e in minoranza sui dati di login per accedere al home banking; dal 2019 la situazione progressivamente è mutata fino ad oggi dove la stragrande maggioranza delle campagne verte dell’acquisire username e password di accesso al conto corrente online delle vittime.

Campagne di Phishing Italiane

Campagne di Phishing Italiane

L’interesse verso i conti correnti è avvenuto conseguentemente l’introduzione di metodi di pagamento istantanei raramente annullabili, come i bonifici bancari istantanei o pagamenti di bollettini postali, che garantiscono ai criminali un rapido ed efficace metodo di movimentare i soldi sottratti alle vittime. I nuovi sistemi anti-frode e l’introduzione della normativa PSD2 hanno reso più sicuri i conti correnti di tutti i correntisti Europei, i criminali sono stati quindi stimolati a progettare nuove tecniche di phishing più sofisticate che non comprendono più il solo invio di una e-mail ma anche chiamate telefoniche, installazioni di applicazioni sugli smartphone delle vittima e altre tecniche che vedremo in futuro in un articolo dedicato.

Ad oggi quindi al tradizionale sito di phishing viene comunemente affiancata una operazione di Vishing (chiamata da parte di un falso operatore bancario) e l’utilizzo di pannelli di controllo dedicati ai criminali per monitorare l’avanzamento della frode e richiedere in tempo reale alla vittime delle informazioni utili per eseguire operazioni illecite sul conto corrente della vittima.

Continua a leggere

A partire da Martedì 9 Marzo D3Lab ha rilevato diverse campagne di phishing ai danni degli utenti del Gruppo Banca Popolare di Bari, attualmente sono state identificate quattro distinte campagne che coinvolgono cinque diversi domini.

La campagna è stata diffusa a mezzo e-mail avvisando gli utenti che è presente un messaggio importante nell’area riservata ed invita l’utente ad accedere al link riportato per visualizzarlo.

Continua a leggere