Gabbata la frase segreta del secure code

pagina web fraudolenta per catturare password secure code

Importante aggiornamento relativo ai casi di phishing TIM precedentemente trattati:

Lo scorso 29 Settembre avevamo pubblicato un post in cui evidenziavamo come per i phisher fosse possibile recuperare la frase segreta del Visa/Mastercard “secure code” (link).

I rilievi descritti nel post erano stati eseguiti proprio esaminando un tentativo di phishing ad opera dello stesso team criminale autore dei due casi descritti poc’anzi (link1 link2). L’esame svolto all’epoca evidenziò come la metodica di recupero della frase segreta fosse funzionante, ma non ancora implementata nel normale funzionamento del kit di phishing.

Poco fa eravamo impegnati nello svolgimento di ulteriori accertamenti finalizzati a comprendere il funzionamento dei kit. Questi test vengono svolti inserendo credenziali formalmente valide (nome, cognome, codice fiscali, numero di carta di credito valido secondo l’algoritmo di Luhn, cvv, ecc…) ma assolutamente inventate, o generate da script, come nel caso dei numeri di carta di credito.

In tal modo, anche se il caso ci portasse ad usare un numero di carta di credito realmente emessa, la combinazione di nome/cognome titolare, scadenza e cvv assolutamente casuali ne renderebbe l’uso fraudolento impossibile.

La sorpresa è giunta quando, inseriti i dati richiesti dalla pagina fraudolenta, è stata visualizzata una pagina web, con logo dell’ente emittente la carta di credito, in cui veniva richiesta la password del Visa/Mastercard secure code, ma …che riportava anche la “frase di benvenuto segreta” del “secure code”!

pagina web fraudolenta per catturare password secure code

 

Evidentemente si era verificato “il fato” ed il numero di carta usato per il test  (abbinato a restanti dati assolutamente casuali e per tanto inutilizzabile) apparteneva ad una carta di credito esistente e il kit creato dai criminali è stato in grado di recuperare la frase identificativa segreta del Visa/Mastercard secure code.

La metodica, come scritto a settembre 2014, era stata sviluppata dai criminali, ma non ancora implementata. Ora invece lo è, con tutto ciò che ne consegue.

/1 Commento/da
1 commento

Trackbacks & Pingbacks

  1. Phishing ING Direct con falsa offerta Agip - D3Lab ha detto:
    17 Febbraio 2017 alle 17:02

    […] le carte, implementando un sistema (mai usato in concreto negli attacchi, ma presente nel kit) che consentiva di recuperare la chiave segreta del secure code Visa/Mastercard, mascherando l’home page dei domini creati con finte pagine di […]

I commenti sono chiusi.