Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

Booking.com prima pagina clone

Booking.com phishing eMail

Booking.com è una nota piattaforma, sviluppata in Olanda, attraverso la quale gli amanti dei viaggi possono organizzare i propri tour prenotando sistemazioni in alberghi, appartamenti, B&B, ecc..

Nella giornata odierna D3Lab ha rilevato una prima mail, Italiana, di Phishing rivolta a colpire nuovi possibili utenti della piattaforma.

La mail di attacco, che potete osservare nell’immagine soprastante, non mira infatti a colpire chi sia già utente Booking.com, ma proponendo un bonus di 200$ invoglia nuovi utenti ad iscriversi al servizio. L’email fraudolenta, partita da un sistema MS Windows, era strutturata con corpo messaggio in codice html codificato in base64.

L’attacco, portato con la modalità del redirect, vedeva l’impiego di due diversi siti web presumibilmente compromessi, uno per il file di redirect linkato nella mail ed uno per il clone. Al momento le pagine clone non risultano raggiungibili.

La prima pagina di phishing richiedeva i dati base per l’apertura di un account

Booking.com prima pagina clone

mentre nella seconda e terza pagina contenevano la richiesta dei dati della carta di credito dell’utente.

Booking.com seconda pagina cloneBooking.com terza pagina clone

Questo ennesimo tentativo di phishing a danno di enti non bancari evidenzia la semplicità con la quale qualsiasi servizio, per il quale sia giustificabile la richiesta di dati di pagamento o altri dati sensibili ed appetibili, possa diventare un target per i criminali.

Si consiglia sempre di osservare gli url celati dai link nelle email ricevute e di ricercare on-line i reali riferimenti/domini  dei siti/servizi di interesse, tralasciando gli annunci sponsorizzati/pubblicitari che già in passato sono stati abusati per specifici attacchi di phishing.

 

Lunedì 11 Dicembre abbiamo rilevato la prima attività di Phishing ai danni di Sky Italia, attività svolta da parte di un team di Phisher molto attivo in ambito Italiano che è solito sfruttare redirect mediante pagine indicizzate dal motore di ricerca Google.

Come potete visualizzare dagli screenshot riportati l’intento dei criminali è quello di carpire il profilo Sky ID e la Carta di Credito degli utenti oltre a codice fiscale, indirizzo eMail e relativa password.

L’attacco è veicolato mediante un sito web compromesso, sito dotato di un valido certificato SSL emesso lo scorso 14 Febbraio da Let’s Encrypt. Il certificato HTTPS è sempre più sfruttato in attività di Phishing in quanto la vittima tende a fidarsi maggiormente del contenuto visualizzato. Uno stereotipo errato come abbiamo già dimostrato più volte in passato. L’implementazione del certificato SSL, anche gratuito, su tutti i siti web è fondamentale per garantire l’integrità della comunicazione tra il web server e l’utente ma altresì importante sottolineare che non garantisce la leicità del contenuto visualizzato.

 

Ad oggi l’attacco di Phishing non è più attivo, ricordiamo comunque agli utenti di prestare attenzione alle comunicazioni che si ricevono.

Dal mese di Ottobre 2017 i criminali informatici (Phisher) che operano in ambito Italiano ai danni di Poste Italiane stanno sfruttando la tecnica di offuscamento dell’URL di Phishing convertendo l’indirizzo IP contenuto nell’url in formato decimale. Questa tecnica, come vedremo, gli permette di eludere la blacklist di PhishTank.

 

La vittima riceve la seguente eMail:

Gentile Cliente,

Dal 25° novembre 2017 non potrai utilizzare il tuo conto PostePay se non hai attivo il nuovo sistema di sicurezza web.

Il nuovo sistema di Sicurezza Web PostePay e una soluzione innovativa che garantisce maggiore sicurezza e affidabilita per le operazioni dispositive con PostePay effettuate sui siti online.

Il nuovo sistema per l`autorizzazione delle operazioni di pagamento effettuate con PostePay sui siti online,prevede l`utilizzo di due strumenti:

1. Dati di carattere personale.

2. Informazioni fiscali.

L`attivazione e semplice,gratuita e richiede 1 minuto.

Le alleghiamo la documentazione necessaria per attivare la protezione.

Cordiali Saluti,

Poste Italiane

 

Email in cui l’utente trova in allegato un file HTML contente sole quattro righe di codice che hanno il compito di redirigere l’utente su una pagina di Phishing:

L’IP 3414353538 visualizzato nel sorgente dell’allegato non sembra a prima vista reale poiché comunemente un indirizzo IPv4 viene espresso in quattro terne XXX.XXX.XXX.XXX (dove ogni terna xxx varia tra 0 e 254). Questo potrebbe far pensare ad un errore del Phisher o all’intervento di un antivirus che ha “troncato” eventuale contenuto malevolo nella comunicazione eMail.

Ma realmente si tratta di un indirizzo valido e correttamente interpretato dai comuni Browser, infatti in base al RFC 780 gli indirizzi IPv4 possono essere rappresentati anche in forma Decimale, Binaria o Esadecimale permettendo anche la concatenazione di più rappresentazioni.

L’IP 3414353538 potrà quindi essere rappresentato come segue:

  • 203[.]130[.]230[.]130 (formato convenzionale, parentesi quadrate da rimuovere)
  • 11001011100000101110011010000010 (formato binario)
  • 0xcb82e682 (formato esadecimale)

Il noto portale PhishTank dedicato alle segnalazioni di Phishing non è attualmente in grado di convalidare segnalazioni che sfruttano l’offuscamento dell’indirizzo IP. Nella segnalazione #5344072 possiamo notare come nonostante lo screenshot della pagina di Phishing sia stato acquisito correttamente non è possibile votare la veridicità della segnalazione perché la pagina web è irraggiungibile: “This suspected phishing site is unavailable…” vanificando pertanto l’efficacia di questo portale.


Assodato quindi che una non corretta validazione dell’indirizzo ip possa portare ad un errore di una applicazione (nel caso specifico un portale web) è ipotizzabile che la medesima casistica se non contemplata e correttamente gestita possa rendere inefficaci eventuali black list implementate su sistemi anti-spam/firewall.

Nella giornata di lunedì 27 Novembre abbiamo rilevato la presenza di una forte attività di Phishing veicolata mediante un unico dominio creato Ad Hoc per colpire oltre 30 Istituiti di Credito Italiano.

Salvo alcune eccezioni gli istituti di credito coinvolti sfruttano la piattaforma di Internet Banking fornita dal CSE – Consorzio Servizi Bancari, ed in particolare parliamo delle seguenti banche:

  • Banca Agricola Popolare di Ragusa
  • Banca Albertini SYZ
  • Banca Carim (Cassa di Risparmio di Rimini)
  • Banca di Imola
  • Banca di Piacenza
  • Banca Dinamica
  • Banca Interprovinciale
  • Banca Popolare del Lazio
  • Banca Popolare di Fondi
  • Banca Popolare di Frusinate
  • Banca Popolare Pugliese
  • Banca Popolare Sant’Angelo
  • Banca Popolare Valconca
  • Banca Sella
  • Banca Sistema
  • BNL (Gruppo BNP Paribas)
  • BPER Banca
  • Cariparma Crédit Agricole
  • Cassa di Risparmio di Cesena
  • Cassa di Risparmio di Fermo (Carifermo)
  • Cassa di Risparmio di San Miniato (Carismi)
  • Deutsche Bank
  • Esagon (Credito Fondiario S.p.A.)
  • Extrabanca
  • Gruppo Banca Carige
  • Igea Banca
  • Imprebanca
  • SanFelice 1893 Banca Popolare
  • Santander
  • UBI Banca
  • Unicredit

L’intento del Phisher è quello di carpire le credenziali (username e password) per accedere ai rispettivi portali di Home Banking, non vengono attualmente richieste ulteriori informazioni come Carte di Credito, Documento o Codici OTP. Ma come abbiamo visto in passato il Phisher potrebbe aggiornare i siti cloni in corso d’opera integrando la richiesta di ulteriori informazioni a lui necessarie per completare la fronde.

E’ anche ipotizzabile che, una volta visionata la disponibilità presente sul conto corrente, il cyber criminale decida di procedere con altre tipologie di frodi: per esempio contattando la possibile vittima telefonicamente, disponendo di molti dati carpiti direttamente dal portale di internet banking, il truffatore poterebbe fingersi un operatore del call center che telefona per verificare l’effettivo ordine di un bonifico, magari tratto proprio da quelli presenti nella lista movimenti, riuscendo, una volta conquistata la fiducia della vittima (“… conosceva tutti i miei dati, come potevo immaginare fosse una frode, sapeva anche del bonifico fatto ieri….”), a farsi dare telefonicamente i codici di sicurezza con cui disporre nuovi pagamenti.

Il nuovo dominio AdHoc registrato con TLD .it sfrutta similitudini con il dominio autentico banking4you.it del CSE: l’utilizzo di un dominio molto similare a quello originale trae in inganno l’utente ed inoltre l’utilizzo del TLD Italiano impedisce un puntuale contrasto poiché il NIC Italiano non rilascia un elenco dei nuovi dominii registrati vanificando qualsiasi azione di contrasto preventiva basata per l’appunto sulle similitudini tra nuovi dominii registrati e dominio originale.

Il dominio in analisi è stato registrato a nome di una ignara Agenzia di Comunicazione e Web agency di Roma e Milano.

Di seguito potete trovare gli screenshot delle pagine di Phishing:

 

Nell’attività di monitoraggio ed eventuale contrasto al Phishing che effettuiamo quotidianamente a inizio Novembre abbiamo rilevato la dodicesima attività fraudolenta svolta ai danni di Iccrea Banca (CartaBCC) del 2017.

L’attacco avviene mediante una eMail che richiede all’utente di “Verificare la tua identità, altrimenti il tuo account verrà sospeso” e lo invita a visitare un sito web per ottenere maggiori informazioni.

Visitando il sito web riportato viene inizialmente richiesto l’username e la password per accedere al portale dedicato alla propria Carta di Credito BCC e successivamente vengono richieste ulteriori informazioni, quali:

  • Numero della Carta di Credito;
  • Scadenza della Carta;
  • Codice di Sicurezza (CVV2);
  • Numero di Cellulare;
  • eMail;
  • Pasword eMail.

L’eMail e la relativa password non sono strettamente necessari al Phisher per sfruttare la carta di credito illecitamente carpita ma è un ulteriore informazione sensibile che gli permetterebbe di sottrarre altri dati sensibili vittima o di sfruttare l’account di posta e relativa rubrica per inviare nuovi messaggi di Phishing.

Venerdì 10 Novembre il CEO Paolo Bertoluzzo presentava alla stampa Nexi, la nuova azienda italiana che ha l’obiettivo di costruire, in partnership con le Banche, il futuro dei pagamenti digitali in Italia. Nexi nasce dall’esperienza di Cartasì e ICBPI (Popolare di Cremona, Popolare di Intra, Banca Popolare di Lecco, Popolare di Lodi, Banca Popolare di Luino e Varese, Popolare di Verona).

Dopo nemmeno 48h dalla presentazione di Nexi rileviamo la prima campagna di Phishing ai danni del marchio e degli utenti, una importante tempestività da parte dei Phisher a sottolineare ancora una volta come il Phishing sia ad oggi una frode online molto attiva ed in costante evoluzione.

Ricordiamo infatti che secondo il rapporto ClusIT 2017 cresce del 117% nell’ultimo anno la “guerra delle informazioni”, a quattro cifre l’incremento degli attacchi compiuti con tecniche di Phishing e Social Engineering (+1.166%). La sanità è il settore più colpito (+102%), con GdO (+70%), Finance e Banche (+64%) e Infrastrutture Critiche (+15%). Aumentano gli attacchi verso Europa e Asia.

L’attività illecita impostata dal Phisher ha come scopo l’acquisizione dei dati della Carta di Credito oltre a username, password e Codice Fiscale della vittima. Di seguito potete visionare uno screenshot integrale dell’intera pagina di Phishing.

 

 

 

 

Unicredit quest’anno è vittima di una forte campagna di Phishing che si svolge puntualmente durante il Week End con l’utilizzo di dominii Ad Hoc registrati appositamente per effettuare la frode. Dominii che come vedrete successivamente sfruttano similitudini con il nome dominio originale.

Ieri, 2 Novembre 2017, abbiamo rilevato la registrazione di 17 nuovi probabili dominii sfruttabili per una nuova campagna di Phishing ai danni proprio di questo Istituto Bancario, oggi 3 Novembre 2017 la campagna di Phishing ha avuto inizio sfruttando attualmente 14 dei 17 dominii rilevati.

Le pagine di Phishing vengono nascoste in una sottodirectory dedicata, in fase di scrittura dell’articolo la directory è denominata “online-retail” ma durante l’intero week end per ovviare alle BlackList il Phisher rinomina la directory. Attraverso Archive.is abbiamo effettuato una copia di una pagina di Phishing.

I dominii attualmente sfruttati sono:

  • unicredititareaclientionline[.]info
  • sicurezzaobbligatoriounicreditdati[.]info
  • servizionlinetuounicreditdati[.]info
  • servizioinformativoteunicreditcard[.]info
  • servizieinternetunicreditdati[.]info
  • informazionieserviziunicreditline[.]info
  • unicreditgruppoprotezionetuodati[.]info
  • riabilitaretuadatiunicredit[.]info
  • unicreditgruppoprotezione[.]info
  • riabilitaretuaunicredit[.]info
  • unicreditcartaregistratuoprofilodati[.]info
  • regitradatiline[.]info
  • verificadatiline[.]email
  • verificadatiline[.]site

[AGGIORNAMENTO]

Alle 09:30 UTC del 3 Novembre abbiamo rilevato il coinvolgimento di altri 6 dominii:

  • onlinedativerifica[.]com
  • onlinecontrolladati[.]site
  • accessoservonline[.]com
  • onlinedativerifica[.]site
  • onlinecontrolladati[.]com
  • accessoservonline[.]site

 

Da Febbraio ad oggi sono stati registrati 126 dominii Ad Hoc per effettuare Phishing ai danni di Unicredit, con una distribuzione mensile rappresentata dal seguente grafico

 

L’intento dei Phisher è quello di acquisire i dati delle Carte di Credito delle vittime oppure le credenziali di accesso all’Home Banking, nell’attacco in corso viene inviata all’utente l’eMail che vedete in apertura nella quale lo si invita ad attivare un servizio gratuito per migliorare la sicurezza della carta di credito. L’utente viene poi invitato successivamente a digitare non solo i dati della propria carta ma anche dati personali quali:

  • Nominativo;
  • Codice Fiscale;
  • Data di Nascita;
  • Codice Postale.

Digitate le informazioni principali viene richiesto il codice OTP del proprio token fisico o mobile, codice che verrà richiesto cinque volte così da garantire al Phisher cinque utilizzi consecutivi della propria carta di credito.

Di seguito vi riportiamo una galleria di screenshot con le Pagine di Phishing attualmente presenti in uno dei dominii sopra citati.

 

Dal 20 Ottobre abbiamo rilevato una nuova campagna di Phishing ai danni di Cariparma (Crédit Agricole) che vede fino ad ora coinvolti 3 dominii Ad hoc e un sito compromesso.

I dominii creati Ad Hoc sono:

  • bcariparma[.]it
  • mepos[.]it
  • cari-parma[.]it

I dominii creati Ad Hoc vengono registrati volutamente con similitudini rispetto al dominio originale o con parole chiavi associabili alla banca, in questi due specifici casi il primo dominio introduce una “b” come variazione al dominio ufficiale, la lettera “b” può essere associata alla parola “banca” ingannando l’utente che visita il sito web. Nel secondo dominio viene sfruttata la parola “pos” che è il device che gli esercenti sfruttano per i pagamenti elettronici (Bancomat, Carte di Credito, NFC, Apple Pay, ecc) ed è quindi ipotizzabile che la diffusione del secondo dominio sia stata eseguita tramite eMail a Negozianti del territorio Italiano. Infine, il terzo dominio, introduce semplicemente un trattino per simulare il sito originale.

I due dominii sono stati registrati da due differenti persone ma come abbiamo già avuto modo di illustrare in passato i registranti dei dominii Ad hoc per campagne di Phishing sono spesso nominativi di ex vittime di Phishing.

L’intento del Phisher è quello di carpire le credenziali del Home Banking e successivamente richiedere la conferma del numero di cellulare e un PIN, quest’ultimi due dati permettano al truffatore di eseguire illecite disposizioni dal conto corrette della vittima (Bonifici SEPA, ricariche telefoniche, ecc).

Al fine di eludere le principali BlackList (Google, Firefox, Cisco, Netcraft) i dominii Ad Hoc sono visitabili esclusivamente tramite IP Italiano, un utente di un altro stato accedendo al sito viene reindirizzato ad YouTube ed in particolare al video “Rádio Comercial | Música de Natal 2015“.

Potete apprezzare tale filtro tramite l’acquisizione da noi eseguita mediante Archive.is, la pagina di richiesta Numero di Cellulare e PIN illustrata nel secondo screenshot tramite l’IP Olandese di Archive.is ha acquisito il video di YouTube.

Ricordiamo pertanto agli utenti di prestare la massima attenzione nella quotidiana navigazione web.

Nel tardo pomeriggio del 5 Settembre abbiamo rilevato una nuova campagna di Phishing svolta a sfavore degli utenti di Virgilio eMail, Virgilio è un noto portale di Italiaonline che storicamente ha permesso a molti utenti Italiani di ottenere una casella di Posta Elettronica gratuitamente. Italiaonline detiene inoltre il Brand di Libero Mail, altro portale molto sfruttato.

L’attacco di Phishing diffuso tramite eMail avvisa l’utente che è in fase di rilascio una nuova versione di Virgilio.it ed invita l’utilizzatore ad effettuare un Upgrade affinché non vengano persi i dati e le eMail “sul proprio conto”.

Selezionando il link per l’Upgrade si viene riportati in un dominio creato Ad-hoc per effettuare la campagna di Phishing, il dominio è: my-virgilio[.]com.

La pagina di login presente nel dominio, che vedete nello screenshot di apertura, richiede all’utente la propria eMail e la propria password. Una volta digitate tali credenziali la vittima viene reindirizzata al legittimo portale di Virgilio eMail.

Il palese intento di questa campagna di Phishing è quello di raccogliere le credenziali delle vittime, credenziali che possono essere sfruttate per accedere a dati personali o  per effettuare ulteriori campagne di Phishing.

Il dominio in analisi presenta i seguente Whois:

Name: Grazia Martella
Address: PALERMO
City: PALERMO
State: PALERMO
ZIP Code: 02154
Email: [email protected]
Phone: +39.000000000

Come spesso accade per i domini creati Ad-hoc per campagne di Phishing i dati citati nel Whois sono casuali o riportano dati di precedenti vittime. Infatti in questo specifico caso il CAP di Palermo non è 02154 come citato ma bensì compreso tra 90121 e 90151.

Invitiamo come sempre gli utenti a prestare la massima attenzione e di non comunicare alcun dato personale

Nella prima metà del mese abbiamo rilevato il primo caso di Phishing ai danni degli utenti Italiani di Netflix, quest’ultimo è un ente molto colpito a livello internazionale ma per la prima volta vediamo in maniera distinta un caso in lingua Italiana. Inoltre il caso di Phishing è stato ospitato su un sito internet vulnerabile e la directory di destinazione era altresì denominata “Netflix-Italia”.

Una campagna ai danni di Netflix mira a sottrarre alla vittima due distinte tipologie di informazione private, inizialmente le credenziali che vengono rivendute nei BlackMarket per offrire la visione dei contenuti a basso prezzo, quindi i dati della carta di credito utili invece per effettuare addebiti illeciti sulla carta della vittima.

La campagna di Phishing è stata diffusa a mezzo eMail e ad oggi non è più attiva, invitiamo comunque gli utenti alla massima attenzione.